Oltre 11 milioni di dispositivi Android sono a rischio a causa dell’ultima versione del malware “Necro Trojan”. Distribuito attraverso app legittime su Google Play, il malware è in grado di compromettere facilmente la sicurezza dei dispositivi in modo da permette agli hacker di rubare dati personali, bancari e non solo.
Il malware che si infiltra nelle app popolari su Google Play
Riferisce il sito specialistico Bleeping Computer, gli esperti della società di cybersecurity Kaspersky hanno individuato una nuova versione del malware “Necro Trojan”, la cui particolarità è quella di infiltrarsi nei dispositivi Android tramite avvisi pubblicitari malevoli integrati in app e giochi mobile.
Oltre alle app presenti su Google Play, il Necro Trojan si è diffuso attraverso versioni modificate di popolari app Android, distribuite su piattaforme non ufficiali. Il sito riporta come esempi le versioni modificate di WhatsApp come GBWhatsApp e FMWhatsApp, oltre a Spotify Plus, che promette l’accesso gratuito ai servizi premium. Anche le mod di giochi popolari come Minecraft, Stumble Guys e Car Parking Multiplayer sono state colpite dal malware.
Queste versioni modificate mostrano tutte comportamenti simili:
- generano annunci pubblicitari in background per creare profitti illeciti;
- installano applicazioni senza il consenso dell’utente;
- interagiscono con servizi a pagamento attraverso WebView invisibili.
Il caso di Wuta Camera e Max Browser
Ma oltre alle versioni modificate di app famose, riporta il sito, il malware ha colpito anche app ufficiali. È il caso di Wuta Camera e Max Browser, entrambe disponibili direttamente su Google Play.
La prima, una popolare app di fotoritocco con oltre 10 milioni di download, è stata infettata con il Necro Trojan a partire dalla versione 6.3.2.148. Sebbene il malware sia stato rimosso nella versione successiva, gli utenti che hanno installato le versioni compromesse potrebbero ancora avere payload pericolosi sui loro dispositivi.
Il Max Browser, invece, un’app di navigazione con 1 milione di download, contiene ancora il malware nella versione più recente, spingendo gli esperti di sicurezza a raccomandare la sua immediata disinstallazione.
Necro Trojan: cosa è in grado di fare
Una volta installato, il malware Necro Trojan carica vari payload sui dispositivi infetti, consentendo agli hacker di sfruttare diverse funzionalità malevole. Tra queste, figurano:
- l’installazione di adware che genera guadagni fraudolenti,
- la capacità di scaricare e eseguire file JavaScript e DEX,
- l’utilizzo dei dispositivi come proxy per reindirizzare traffico dannoso.
Inoltre, il malware è stato progettato per facilitare truffe di abbonamento, sfruttando moduli che interagiscono con servizi a pagamento attraverso WebView invisibili, che operano senza che l’utente ne sia a conoscenza.
Gli analisti di Kaspersky hanno riportato che il Necro Trojan ha utilizzato tecniche avanzate per nascondere le sue attività malevole. In particolare, è stato identificato un avviso pubblicitario chiamato Coral SDK, che ha impiegato tecniche di offuscamento per evitare il rilevamento e ha utilizzato la steganografia delle immagini per scaricare payload secondari, come il shellPlugin, travestito da innocue immagini PNG.
