Вредоносное ПО Necro заразило более 11 млн устройств Android через приложения Google Play
Обнаруженное исследователями из «Лаборатории Касперского» вредоносное ПО устанавливалось на устройства Android через вредоносные рекламные пакеты разработки программного обеспечения (SDK), используемые приложениями в Google Play, а также через игровые модификации и измененные версии популярных приложений и игр, доступные в неофициальных магазинах приложений.
Одно из зараженных приложений, Wuta Camera, было загружено из Google Play более 10 миллионов раз. Другое приложение, Max Browser, было загружено из официального магазина Google более 1 миллиона раз. Сейчас обе зараженные версии приложений удалены из Google Play.
По словам исследователей «Лаборатории Касперского», в обоих случаях приложения были заражены рекламным SDK под названием «Coral SDK», который использовал методы «обфускации» для сокрытия своих вредоносных действий. Обфускация или запутывание кода — это приведение исходного кода или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. Для полезной нагрузки второго этапа вредоносная программа затем использует «стеганографию изображений» через «shellPlugin», замаскированный под безвредное изображение. Стеганография представляет собой метод сокрытия секретных данных путем внедрения их в аудио-, видео-, графическое или текстовое файлы. Стеганография изображений — как следует из названия, относится к процессу сокрытия данных в файле изображения.
После заражения Android-устройства вредоносная программа отображает в невидимых окнах рекламу с переходом на нее, загружает исполняемые файлы, устанавливает сторонние приложения и открывает произвольные ссылки на исполняемые скрипты Java. Вирус также может подписывать пользователей на платные услуги без их ведома и перенаправлять интернет-трафик через зараженные устройства, используя их в качестве прокси-серверов.
«Разработчикам приложений следует проверить, подписан ли SDK действительным сертификатом и получен ли он из надежного источника», — сказала Кэти Тейтлер-Сантулло, стратег по кибербезопасности в компании OX Appsec Security Ltd. «Сканирование исходного кода на предмет вредоносного контента и несанкционированного доступа помогает разработчикам определить, был ли код изменен или уязвим для эксплуатации. Для команд AppSec всегда лучше всего проводить различные типы сканирования, включая SAST, DAST, проверку зависимостей и уязвимостей, как для выявления проблем перед развертыванием приложений, так и во время их выполнения».