Een nieuwe versie van de Necro Trojan op Android heeft inmiddels ruim 11 miljoen slachtoffers wereldwijd gemaakt. Dat zegt securitybedrijf Kaspersky.
Eind augustus 2024 ontdekten Kaspersky-experts een nieuwe versie van de trojan. Deze malware heeft verschillende populaire apps op Google Play geïnfiltreerd en ook toepassingen zoals Spotify, WhatsApp en Minecraft, op onofficiële platforms aangepast. Necro is een Android-downloader die andere schadelijke componenten downloadt en uitvoert op geïnfecteerde apparaten in opdracht van de Trojanmakers. Kaspersky registreerde Necro-aanvallen gericht op gebruikers in Rusland, Brazilië, Vietnam, Ecuador en Mexico als onderdeel van deze schadelijke campagne. De malware is ook actief in Europa en maakte in Nederland 80 slachtoffers.
De Necro-variant kan modules downloaden op geïnfecteerde smartphones die advertenties weergeven in onzichtbare vensters. Hier kunnen ze op klikken, uitvoerbare bestanden downloaden, toepassingen van derden installeren en willekeurige koppelingen openen in onzichtbare WebView-vensters om JavaScript-code uit te voeren. Op basis van de technische kenmerken kan de trojan gebruikers waarschijnlijk aanmelden voor betaalde diensten. Daarnaast kunnen cybercriminelen met de gedownloade modules internetverkeer omleiden via het apparaat van het slachtoffer, waardoor ze verboden of gewenste bronnen kunnen bezoeken en het apparaat mogelijk kunnen gebruiken als onderdeel van een proxy-botnet.
Spotify
De experts ontdekten Necro voor het eerst in een aangepaste versie van Spotify Plus. De makers van de app beweerden dat deze veilig was voor apparaten en extra functies bood die niet te vinden waren in de officiële muziekstreaming-app. Vervolgens vonden experts ook een aangepaste versie van WhatsApp die de Necro-downloader bevatte, gevolgd door geïnfecteerde versies van populaire games, waaronder Minecraft, Stumble Guys en Car Parking Multiplayer. Necro was in deze applicaties ingebed via een niet-geverifieerde advertentiemodule.
De Necro-campagne ging verder dan platforms van derden en werd ook ontdekt op Google Play. De schadelijke downloader werd aangetroffen in de Wuta Camera-app en Max Browser. Volgens de statistieken van Google Play werden deze apps samen meer dan 11 miljoen keer gedownload. Op dit platform werd Necro ook verspreid via een niet-geverifieerde advertentiemodule. Na het rapport van Kaspersky Lab aan Google is de kwaadaardige code verwijderd uit Wuta Camera en is Max Browser uit de store gehaald. Gebruikers lopen echter nog steeds het risico om Necro tegen te komen op onofficiële platforms.
