Malware Android ‘Necro’ menginfeksi 11 juta perangkat melalui Google Play

Versi baru pemuat malware Necro untuk Android dipasang pada 11 juta perangkat melalui Google Play dalam serangan rantai pasokan SDK yang berbahaya.

Versi baru Trojan Necro ini diinstal melalui perangkat pengembangan perangkat lunak (SDK) periklanan berbahaya yang digunakan oleh aplikasi sah, mod permainan Android, dan versi modifikasi perangkat lunak populer, seperti Spotify, WhatsApp, dan Minecraft.

Necro memasang beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya, termasuk:

• Adware yang memuat tautan melalui jendela WebView yang tidak terlihat (plugin Island, Cube SDK)
• Modul yang mengunduh dan mengeksekusi file JavaScript dan DEX sembarangan (Happy SDK, Jar SDK)
• Alat yang secara khusus dirancang untuk memfasilitasi penipuan berlangganan (Plugin Web, Happy SDK, plugin Tap)
• Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk mengarahkan lalu lintas berbahaya (plugin NProxy)

Necro Trojan di Google Play

kaspersky telah menemukan kehadiran Necro loader pada dua aplikasi di Google Play, keduanya memiliki basis pengguna yang besar.

Yang pertama adalah Wuta Camera oleh ‘Benqu,’ alat penyuntingan dan percantik foto yang diunduh lebih dari 10.000.000 kali di Google Play.

Para analis ancaman melaporkan bahwa Necro muncul pada aplikasi dengan rilis versi 6.3.2.148, dan tetap tertanam hingga versi 6.3.6.148, saat itulah Kaspersky memberitahu Google.

Meskipun trojan tersebut telah dihapus pada versi 6.3.7.138, muatan apa pun yang mungkin telah diinstal melalui versi lama mungkin masih ada di perangkat Android.

Aplikasi sah kedua yang membawa Necro adalah Max Browser oleh ‘WA message recover-wamr,’ yang diunduh sebanyak 1 juta kali di Google Play hingga dihapus, menyusul laporan Kaspersky.

Kaspersky mengklaim bahwa versi terbaru Max Browser, 1.2.0, masih mengusung Necro, jadi tidak ada versi bersih yang tersedia untuk ditingkatkan, dan pengguna peramban web tersebut disarankan untuk segera menghapusnya dan beralih ke peramban lain.

Kaspersky mengatakan kedua aplikasi tersebut terinfeksi oleh SDK periklanan bernama ‘Coral SDK,’ yang menggunakan pengaburan untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh muatan tahap kedua, shellPlugin, yang disamarkan sebagai gambar PNG yang tidak berbahaya.
Bahasa Indonesia:

Google mengatakan kepada BleepingComputer bahwa mereka mengetahui adanya aplikasi yang dilaporkan dan sedang menyelidikinya.

Sumber resmi luar

Di luar Play Store, Trojan Necro menyebar terutama melalui versi modifikasi aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.

Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp ‘GBWhatsApp’ dan ‘FMWhatsApp,’ yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang lebih luas. Yang lainnya adalah mod Spotify, ‘Spotify Plus,’ yang menjanjikan akses gratis ke layanan premium bebas iklan.

Laporan tersebut juga menyebutkan mod Minecraft dan mod untuk game populer lainnya seperti Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox, yang terinfeksi dengan loader Necro.

Dalam semua kasus, perilaku jahatnya sama—menampilkan iklan di latar belakang untuk menghasilkan pendapatan palsu bagi penyerang, memasang aplikasi dan APK tanpa persetujuan pengguna, dan menggunakan WebView yang tidak terlihat untuk berinteraksi dengan layanan berbayar.

Karena situs web perangkat lunak Android tidak resmi tidak melaporkan jumlah unduhan secara andal, jumlah total infeksi oleh gelombang Trojan Necro terbaru ini tidak diketahui, tetapi setidaknya 11 juta dari Google Play.