Su Google Play sono apparse due applicazioni contenenti malware pericolosi. Se le hai sul tuo smartphone, faresti meglio a rimuoverle il prima possibile.
Delle versioni alterate di app disponibili su Android - associate a Spotify, WhatsApp e Minecraft - sono state utilizzate illegalmente per distribuire una nuova versione di un noto malware loader chiamato Necro.
Kaspersky, azienda specializzata in sicurezza informatica, ha affermato che alcune delle app pericolose sono state trovate anche su Google Play Store e che sono state scaricate complessivamente 11 milioni di volte. Tra queste:
- Wuta Camera - Nice Shot Always - oltre 10 milioni di download
- Max Browser-Private & Security - oltre 1 milione di download
Max Browser non è più disponibile per il download sul Play Store mentre Wuta Camera è stato aggiornata (versione 6.3.7.138) per rimuovere il malware.
Attenzione a queste due app
Al momento non è chiaro come entrambe le app siano state compromesse dal malware, anche se si ritiene che il colpevole sia un Software Development Kit (SDK) non autorizzato per l’integrazione di funzionalità pubblicitarie.
Necro è stato scoperto per la prima volta dalla società russa di sicurezza informatica nel 2019, quando era stato inserito all’interno di una popolare app di scansione di documenti chiamata CamScanner.
Più tardi CamScanner ha attribuito la causa del problema a un SDK pubblicitario fornito da una terza parte denominata AdHub, che, a suo dire, conteneva un modulo dannoso per recuperare il malware in una fase successiva da un server remoto, agendo essenzialmente come un “caricatore” per tutti i tipi di malware sui dispositivi delle vittime.
Perché il malware Android Necro è pericoloso
La nuova versione del malware non fa eccezione, sebbene includa tecniche di offuscamento per eludere il suo rilevamento, sfruttando in particolare la steganografia per nascondere i payload.
«I payload scaricati, tra le altre cose, potrebbero visualizzare annunci pubblicitari in finestre invisibili e interagire con essi, scaricare ed eseguire file DEX e installare le applicazioni scaricate», ha affermato il ricercatore di Kaspersky Dmitry Kalinin.
Può anche «aprire link arbitrariamente in finestre WebView invisibili ed eseguire qualsiasi codice JavaScript in esse contenuto, creare un collegamento attraverso il dispositivo della vittima e potenzialmente abbonarsi a servizi a pagamento».
Uno dei veicoli di distribuzione principali di Necro sono le versioni modificate di app e giochi popolari ospitate su siti e app store non ufficiali. Una volta scaricate, le app inizializzano un modulo denominato Coral SDK, che a sua volta invia una richiesta HTTP POST a un server remoto.
Successivamente il server risponde con un collegamento a un presunto file immagine PNG ospitato su adoss.spinsok[.]com, dopodiché l’SDK procede a estrarre da esso il payload principale, un file di archivio Java (JAR) codificato in Base64.
La telemetria raccolta da Kaspersky mostra che sono stati bloccati oltre diecimila attacchi Necro in tutto il mondo tra il 26 agosto e il 15 settembre 2024 - Russia, Brasile, Vietnam, Ecuador, Messico, Taiwan, Spagna, Malesia, Italia e Turchia sono i Paesi che hanno registrato il maggior numero di attacchi.
Tutte le versioni dannose delle app identificate sono state rimosse da Google Play. Gli utenti Android sono automaticamente protetti dalle versioni note di questo malware da Google Play Protect, attivo di default sui dispositivi Android con Google Play Services. Google Play Protect avvisa gli utenti o blocca le app che mostrano comportamenti dannosi.
© RIPRODUZIONE RISERVATA