I ricercatori di Kaspersky hanno individuato una nuova versione di Necro, un trojan installato tramite SDK pubblicitari in molte app distribuite sul Google Play Store o versioni modificate di app popolari, tra cui Spotify e WhatsApp. In base alle prime stime, il malware ha infettato oltre 11 milioni di dispositivi nel mondo (anche in Italia).
Descrizione di Necro
Gli esperti di Kaspersky hanno trovato Necro in due app pubblicate sul Google Play Store. Una di esse è Wuta Camera, scaricata oltre 10 milioni di volte. Il trojan è stato eliminato nella versione 6.3.7.138. La seconda è Max Browser (circa un milione di download) che Google ha rimosso in seguito alla segnalazione.
In entrambe le app era presente Coral SDK, usato per la visualizzazione delle inserzioni pubblicitarie. Il codice è stato offuscato per nascondere le sue attività. Il malware viene estratto da un’immagine PNG, sfruttando un algoritmo di steganografia.
Necro viene distribuito anche tramite versioni modificate di Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox. Il malware funziona inoltre come loader, scaricando altri payload dal server remoto. Dopo aver infettato il dispositivo può attivare vari plugin per mostrare banner pubblicitari che generano profitti, scaricare APK all’insaputa dell’utente e sottoscrivere abbonamenti a servizi premium.
In base alle rilevazioni effettuate fino al 15 settembre, il numero maggiore di vittima si trova in Russia, Brasile e Vietnam. In Italia sono stati individuati 186 dispositivi infetti. Gli utenti devono aggiornare le suddette app o cancellarle, evitare l’installazione di APK da fonti sconosciute e utilizzare un antivirus.