0
0
Jakarta – Malware Necro versi baru untuk Android dikatakan telah diinstal di 11 juta perangkat melalui Google Play.
Versi baru Necro Trojan ini diinstal melalui perangkat pengembangan perangkat lunak malvertising (SDK), yang digunakan oleh aplikasi sah, mod game Android, dan versi modifikasi perangkat lunak populer seperti Spotify, WhatsApp, dan Minecraft.
Setelah terinstal, Necro menginstal beberapa payload pada perangkat yang terinfeksi dan mengaktifkan beberapa plug-in berbahaya. Berikut detailnya:
– Adware yang memuat tautan melalui jendela WebView yang tidak terlihat (Pulau, plugin Cube SDK)
– Modul yang mengunduh dan mengeksekusi file JavaScript dan DEX secara acak (Happy SDK, Jar SDK)
– Alat yang dirancang khusus untuk memfasilitasi penipuan berlangganan. (Plugin Web, Happy SDK, Ketuk Plugin)
– Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk merutekan lalu lintas berbahaya (plugin NProxy)
Penyebaran Trojan Necro di Google Play Kaspersky menemukan keberadaan Necro di dua aplikasi di Google Play, keduanya memiliki basis pengguna yang besar. Apa saja aplikasi-aplikasi tersebut? Seperti dilansir Bleeping Computer:
1. Wuta Camera: Aplikasi pengeditan dan pengeditan foto dengan lebih dari 10.000.000 unduhan di Google Play muncul di aplikasi ini dengan rilis versi 6.3.2.148 dan tetap tertanam hingga versi 6.3.6.148.
2. Max Browser: Web browser dengan 1 juta unduhan di Google Play, Max Browser versi terbaru 1.2.0 masih menyertakan Necro.
Kaspersky mengatakan bahwa kedua aplikasi tersebut terinfeksi SDK periklanan yang disebut ‘Coral SDK’ yang menggunakan obfuscation untuk menyembunyikan aktivitas jahat, serta penyembunyian gambar untuk mengunduh muatan sekunder, yang disamarkan sebagai gambar PNG tidak berbahaya dari shellPlugin.
