تم تثبيت إصدار جديد من محمل البرامج الضارة Necro لنظام Android على 11 مليون جهاز من خلال Google Play في هجمات سلسلة توريد SDK الضارة.
تم تثبيت هذا الإصدار الجديد من حصان طروادة Necro من خلال مجموعات تطوير برامج إعلانية ضارة (SDK) تستخدمها التطبيقات المشروعة، وتعديلات ألعاب Android، والإصدارات المعدلة من البرامج الشائعة، مثل Spotify وWhatsApp وMinecraft.
يقوم Necro بتثبيت العديد من الحمولات على الأجهزة المصابة ويقوم بتنشيط العديد من المكونات الإضافية الضارة، بما في ذلك:
- برامج إعلانية تقوم بتحميل الروابط من خلال نوافذ WebView غير المرئية (المكون الإضافي Island، Cube SDK)
- وحدات تقوم بتنزيل ملفات JavaScript وDEX وتنفيذها (Happy SDK وJar SDK)
- أدوات مصممة خصيصًا لتسهيل الاحتيال في الاشتراك (مكون إضافي للويب، Happy SDK، مكون إضافي Tap)
- الآليات التي تستخدم الأجهزة المصابة كوكلاء لتوجيه حركة المرور الضارة (المكون الإضافي NProxy)
حصان طروادة Necro على Google Play
كاسبيرسكي”https://securelist.com/necro-trojan-is-back-on-google-play/113881/” الهدف=”_blank” rel=”nofollow noopener”>اكتشفت تواجد Necro loader على تطبيقين على Google Play، وكلاهما لهما قاعدة مستخدمين كبيرة.
التطبيق الأول هو Wuta Camera من شركة Benqu، وهي أداة لتحرير الصور وتجميلها بأكثر من 10 ملايين عملية تنزيل على Google Play.
المصدر: BleepingComputer
أفاد محللو التهديدات أن Necro ظهر في التطبيق مع إصدار الإصدار 6.3.2.148، وظل مدمجًا حتى الإصدار 6.3.6.148، وهو الوقت الذي أخطرت فيه Kaspersky Google بذلك.
على الرغم من إزالة حصان طروادة في الإصدار 6.3.7.138، إلا أن أي حمولات ربما تم تثبيتها عبر الإصدارات الأقدم قد لا تزال موجودة على أجهزة Android.
التطبيق الشرعي الثاني الذي يحمل Necro هو Max Browser بواسطة ‘WA message recovery-wamr’، والذي كان لديه مليون عملية تنزيل على Google Play حتى تمت إزالته، بعد تقرير Kaspersky.
تزعم شركة Kaspersky أن الإصدار الأحدث من متصفح Max، 1.2.0، لا يزال يحمل Necro، لذا لا يوجد إصدار نظيف متاح للترقية إليه، وينصح مستخدمي متصفح الويب بإلغاء تثبيته على الفور والتبديل إلى متصفح مختلف.
وتقول شركة كاسبيرسكي إن التطبيقين أصيبا بمجموعة أدوات تطوير برمجيات إعلانية تسمى “Coral SDK”، والتي استخدمت التعتيم لإخفاء أنشطتها الخبيثة، كما استخدمت التخفي في الصور لتنزيل الحمولة الثانوية، shellPlugin، متخفية في شكل صور PNG غير ضارة.
المصدر: كاسبيرسكي
وقالت شركة جوجل لموقع BleepingComputer إنها على علم بالتطبيقات المبلغ عنها وتقوم بالتحقيق فيها.
مصادر رسمية خارجية
خارج متجر Play، ينتشر حصان طروادة Necro بشكل أساسي من خلال الإصدارات المعدلة من التطبيقات الشائعة (التعديلات) التي تم توزيعها عبر مواقع الويب غير الرسمية.
ومن الأمثلة البارزة التي رصدتها كاسبرسكي تعديلات واتساب “GBWhatsApp” و”FMWhatsApp”، التي تعد بضوابط خصوصية أفضل وحدود مشاركة ملفات موسعة. وهناك تعديل آخر هو “Spotify Plus”، الذي يعد بالوصول المجاني إلى الخدمات المتميزة الخالية من الإعلانات.
المصدر: كاسبيرسكي
ويذكر التقرير أيضًا تعديلات Minecraft وتعديلات لألعاب شهيرة أخرى مثل Stumble Guys وCar Parking Multiplayer وMelon Sandbox، والتي أصيبت بفيروس Necro loader.
وفي جميع الحالات، كان السلوك الخبيث هو نفسه – عرض الإعلانات في الخلفية لتوليد إيرادات احتيالية للمهاجمين، وتثبيت التطبيقات وملفات APK دون موافقة المستخدم، واستخدام WebViews غير المرئية للتفاعل مع الخدمات المدفوعة.
وبما أن مواقع برامج Android غير الرسمية لا تبلغ عن أرقام التنزيل بشكل موثوق، فإن العدد الإجمالي للإصابات بهذه الموجة الأخيرة من فيروسات Necro Trojan غير معروف، ولكنه يبلغ على الأقل 11 مليون حالة من متجر Google Play.