Versi baru pemuat malware Necro untuk Android dipasang di 11 juta perangkat melalui Google Play dalam serangan rantai pasokan SDK yang berbahaya.
Versi baru Necro Trojan ini dipasang melalui perangkat pengembangan perangkat lunak (SDK) periklanan berbahaya yang digunakan oleh aplikasi sah, mod game Android, dan versi modifikasi perangkat lunak populer, seperti Spotify, WhatsApp, dan Minecraft.
Necro memasang beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya, termasuk:
- Adware yang memuat tautan melalui jendela WebView yang tidak terlihat (plugin Island, Cube SDK)
- Modul yang mengunduh dan mengeksekusi file JavaScript dan DEX sewenang-wenang (Happy SDK, Jar SDK)
- Alat yang dirancang khusus untuk memfasilitasi penipuan berlangganan (plugin Web, Happy SDK, plugin Tap)
- Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk merutekan lalu lintas berbahaya (plugin NProxy)
Necro Trojan di Google Play
Kaspersky menemukan keberadaan Necro loader pada dua aplikasi di Google Play, keduanya memiliki basis pengguna yang besar.
Yang pertama adalah Wuta Camera dari ‘Benqu’, alat pengeditan dan kecantikan foto dengan lebih dari 10.000.000 unduhan di Google Play.
The Wuta Camera app on Google Play
Source: BleepingComputer
Analis ancaman melaporkan bahwa Necro muncul di aplikasi dengan rilis versi 6.3.2.148, dan tetap tertanam hingga versi 6.3.6.148, saat Kaspersky memberi tahu Google.
Meskipun trojan telah dihapus pada versi 6.3.7.138, muatan apa pun yang mungkin diinstal melalui versi yang lebih lama mungkin masih tersembunyi di perangkat Android.
Aplikasi sah kedua yang membawa Necro adalah Max Browser dengan ‘WA message recovery-wamr’, yang memiliki 1 juta unduhan di Google Play hingga dihapus, mengikuti laporan Kaspersky.
Kaspersky mengklaim bahwa versi terbaru Max Browser, 1.2.0, masih mengusung Necro, sehingga tidak ada versi bersih yang tersedia untuk ditingkatkan, dan pengguna browser web disarankan untuk segera menghapus instalasinya dan beralih ke browser lain.
Kaspersky mengatakan kedua aplikasi tersebut terinfeksi oleh SDK periklanan bernama ‘Coral SDK,’ yang menggunakan obfuscation untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh payload tahap kedua, shellPlugin, yang disamarkan sebagai gambar PNG yang tidak berbahaya.
Necro’s infection diagram
Source: Kaspersky
Google mengatakan kepada BleepingComputer bahwa mereka mengetahui aplikasi yang dilaporkan dan sedang menyelidikinya.
Sumber resmi Diluar
Di luar Play Store, Necro Trojan menyebar terutama melalui versi modifikasi dari aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.
Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp ‘GBWhatsApp’ dan ‘FMWhatsApp’, yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang diperluas. Lainnya adalah mod Spotify, ‘Spotify Plus’, yang menjanjikan akses gratis ke layanan premium bebas iklan.
Di luar Play Store, Necro Trojan menyebar terutama melalui versi modifikasi dari aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.
Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp ‘GBWhatsApp’ dan ‘FMWhatsApp’, yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang diperluas. Lainnya adalah mod Spotify, ‘Spotify Plus’, yang menjanjikan akses gratis ke layanan premium bebas iklan.
Website spreading a malicious Spotify mod
Source: Kaspersky
Laporan tersebut juga menyebutkan mod Minecraft dan mod untuk game populer lainnya seperti Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox, yang terinfeksi Necro loader.
Dalam semua kasus, perilaku jahatnya sama—menampilkan iklan di latar belakang untuk menghasilkan pendapatan palsu bagi penyerang, memasang aplikasi dan APK tanpa persetujuan pengguna, dan menggunakan WebView yang tidak terlihat untuk berinteraksi dengan layanan berbayar.
Karena situs web perangkat lunak Android tidak resmi tidak melaporkan jumlah pengunduhan secara akurat, jumlah total infeksi yang disebabkan oleh gelombang Trojan Necro terbaru ini tidak diketahui, namun setidaknya ada 11 juta dari Google Play.
“Semua versi aplikasi berbahaya yang diidentifikasi oleh laporan ini telah dihapus dari Google Play sebelum laporan dipublikasikan. Pengguna Android secara otomatis terlindungi dari versi malware ini yang diketahui oleh Google Play Protect, yang diaktifkan secara default di perangkat Android dengan Google Play Layanan Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, meskipun aplikasi tersebut berasal dari sumber di luar Play.” – Juru Bicara Google
Jadi paling aman harus tetap menggunakan aplikasi yang sah, dan unduh di google play yah kawan, di Sentana Teknologi juga menerima pembuatan aplikasi mobile untuk membantu bisnis kamu atau bisa mentoring coding untuk pembuatan aplikasi android
