W Google Play biją na alarm. Aplikacje pobierane przez miliony osób są zakażone wirusami

Historia Necro Trojana sięga 2019 roku. Wtedy oprogramowanie malware namierzono w skanerze dokumentów CamScanner. Teraz wirus powrócił w nowej, udoskonalonej wersji. Necro Trojan jest w stanie uniknąć wykrycia przez popularne antywirusy.

Zagrożenie zauważyli analitycy z rosyjskiej firmy Kaspersky. Malware pojawiło się w aplikacjach takich jak Spotify Plus, Wuta Camery, czy Max Browser. Jednak działanie wirusa może dotyczyć znacznie dłuższej listy programów.

Necro Trojan "zainfekował" miliony użytkowników Androida

Kaspersky już na wstępie informuje, że nawet Google Play nie jest odporne na złośliwe oprogramowanie. Ryzyko zainfekowania systemu jest szczególnie wysokie, jeśli ktoś pobiera aplikacje z nieoficjalnych źródeł, czy z wgranymi modami.

Według analityków firmy, na całym świecie ofiarą Necro Trojana mogło paść 11 milionów użytkowników Androida. Ślady złośliwego oprogramowania wykryto we wspomnianych już aplikacjach m.in. Wuta Camery i Max Browser, ale także modach do WhatsAppa, czy popularnych gier, w tym Minecrafta.

Wirusa wykryto po raz pierwszy w aplikacji Spotify Plus

Uwagę ekspertów z Kaspersky przykuła nietypowa modyfikacja Spotify. W wersji "z plusem" użytkownicy otrzymywali dostęp do nieograniczonej biblioteki źródłowej aplikacji zarówno w trybie online, jak i offline.

Kaspersky poinformował, że Spotify Plus miało certyfikaty poświadczające ochronę użytkowników, jak na przykład gwarancje: Security Verified i Official Certification. Jednak przycisk Download Spotify MOD APK oznaczał ściągnięcie wirusa.

W jaki sposób Necro Trojan infekuje urządzenia?

W chwili uruchomienia aplikacji trojan wysyła informacje o zainfekowanym urządzeniu do serwera C2 (Command and Control), który jest wykorzystywany przez hakerów do utrzymywania komunikacji i sterowania.

Odpowiedzią na tę akcję jest link do pobrania obrazu w formacie PNG (Portable Network Graphics). Wirus ukrywa się w pliku graficznym. Złośliwy ładunek jest implementowany za pomocą steganografii.

Czym jest steganografia wykorzystywana przez hakerów?

Steganografia umożliwia wielowarstwowe ukrycie szkodliwych danych. Maskuje sam fakt, że są one przesyłane i odbieranie. Tym sposobem pozwala omijać zabezpieczenia firewall, a także DPI (Deep Packet Inspection), których używają systemy korporacyjne.

Jak tłumaczy serwis kapitanhack.pl na przykładzie wariantu wirusa ZeusVM. Szkodliwe oprogramowanie pobiera ustawienia z pliku graficznego. Koniec obrazu zawiera zbędne informacje, które po odszyfrowaniu stają się plikiem danych konfiguracyjnych.

Steganografia jest dość nietypową techniką ukrywania i przemycania melware. Do najpopularniejszych zalicza się phishing, czyli dystrybucja złośliwego kodu za pośrednictwem e-maili.

Jak można się zabezpieczyć przed Necro Trojanem?

Pierwszym stopniem ochrony danych jest unikanie pobierania aplikacji z nieoficjalnych źródeł – w tym modów i wszelkich przeróbek. W ramach prewencji można zainstalować antywirusa na swoje urządzenie. Natomiast przed ściągnięciem aplikacji warto zweryfikować ją na stronie oprogramowania w sklepie.

Pomocną wskazówką odnośnie do tego, czy ma się do czynienia z podejrzanym oprogramowaniem, czy nie, są opinie w sklepach z aplikacjami. Należy zwrócić uwagę na negatywne komentarze – czy nie pojawiają się w nich oskarżenia o wirusa w aplikacji.