Alla fine di agosto 2024, gli esperti di Kaspersky hanno identificato una nuova versione del Trojan Necro che si è infiltrato in diverse applicazioni popolari su Google Play e ha modificato alcune app su piattaforme non ufficiali, tra cui Spotify, WhatsApp e Minecraft. Necro è un downloader Android che scarica ed esegue altri componenti dannosi sui dispositivi infetti in base alle istruzioni inviate dai creatori del trojan. Le soluzioni Kaspersky hanno registrato attacchi Necro rivolti principalmente a utenti in Russia, Brasile, Vietnam, Ecuador e Messico, a cui si aggiunge l’Italia che è tra i primi 10 Paesi per numero di attacchi.
Funzionalità del Trojan Necro
La variante di Necro scoperta dagli esperti di Kaspersky è in grado di scaricare moduli sugli smartphone infetti che consentono di visualizzare annunci pubblicitari all’interno di finestre nascoste e di cliccarci sopra, scaricare file eseguibili, installare applicazioni di terze parti e aprire link arbitrari in schermate WebView non visibili per eseguire codice JavaScript. Grazie alle sue caratteristiche tecniche, il trojan è anche in grado di far abbonare gli utenti a servizi a pagamento. Inoltre, i moduli scaricati consentono agli aggressori di reindirizzare il traffico Internet attraverso il dispositivo della vittima, consentendo ai criminali informatici di accedere a risorse proibite o desiderate utilizzando il dispositivo della vittima, potenzialmente come parte di una botnet proxy.
Applicazioni infette su piattaforme non ufficiali
La prima scoperta di Necro da parte degli esperti dell’azienda è avvenuta in una versione modificata di Spotify Plus. I creatori dell’app sostenevano che fosse sicura per i dispositivi e che offrisse funzioni aggiuntive non presenti nell’app ufficiale di streaming musicale. Successivamente, gli esperti hanno trovato anche una versione modificata di WhatsApp contenente il downloader Necro, seguita da versioni infette di giochi popolari, tra cui Minecraft, Stumble Guys e Car Parking Multiplayer. Necro è stato incorporato in queste applicazioni tramite un modulo pubblicitario non verificato.
Applicazioni infette su Googl Play
La campagna Necro si è estesa oltre le piattaforme di terze parti ed è stata scoperta anche su Google Play. Il downloader dannoso è stato trovato nell’app Wuta Camera e in Max Browser. Secondo le statistiche di Google Play, i download combinati di queste applicazioni hanno superato gli 11 milioni. Su questa piattaforma, Necro è stato distribuito anche tramite un messaggio pubblicitario non verificato. In seguito alla segnalazione di Kaspersky a Google, il codice dannoso è stato rimosso da Wuta Camera e Max Browser è stato ritirato dallo store. Tuttavia, gli utenti rischiano ancora di imbattersi in Necro su piattaforme non ufficiali.
“Spesso gli utenti scaricano applicazioni non ufficiali e modificate per bypassare le restrizioni delle app ufficiali o accedere a funzionalità aggiuntive gratuite. I criminali informatici usano questo metodo, per diffondere malware attraverso queste applicazioni, poiché non c’è alcuna limitazione sulle piattaforme di terze parti”, ha commentato Dmitry Kalinin, Cybersecurity Expert di Kaspersky. “È inoltre importante notare che la versione di Necro incorporata in queste applicazioni abbia utilizzato tecniche di steganografia, nascondendo il suo payload all’interno di immagini per passare inosservato, un metodo insolito per il malware mobile”.
Le soluzioni di sicurezza Kaspersky proteggono da Necro e rilevano il downloader come Trojan-Downloader.AndroidOS.Necro.f e Trojan-Downloader.AndroirOS.Necro.h, con i componenti dannosi identificati come Trojan.AndroidOS.Necro.
Per ulteriori informazioni su Necro Trojan, è possibile visitare Securelist.com.
Per proteggersi da queste e altre minacce informatiche per Android, gli esperti Kaspersky consigliano di:
- Scaricare le applicazioni solo da fonti ufficiali
- Aggiornare regolarmente il sistema operativo e le applicazioni installate
- Usare una soluzione di sicurezza affidabile fornita da un produttore riconosciuto, i cui prodotti siano stati sottoposti a verifica da parte di laboratori di test indipendenti, come Kaspersky Premium.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia