alguno GooglePlay Según los investigadores de seguridad, los atacantes atacan aplicaciones no oficiales y modificaciones de aplicaciones populares para difundir malware peligroso. El supuesto troyano Necro es capaz de registrar pulsaciones de teclas, robar información confidencial, instalar malware adicional y ejecutar comandos de forma remota. Se han detectado dos aplicaciones en la tienda de aplicaciones Google Play infectadas con este malware. Además, los paquetes de aplicaciones de Android (APK) se han modificado para aplicaciones como Spotify, WhatsAppTambién se ha descubierto que juegos como Minecraft distribuyen el troyano.
Las aplicaciones de Google Play y los archivos APK modificados se utilizan para propagar el virus troyano Necro
Fue la primera vez que se detectó un troyano Necro En 2019 Cuando el malware infectó la popular aplicación CamScanner para crear archivos PDF. La versión oficial de la aplicación en Google Play, que se ha descargado más de 100 millones de veces, planteaba un riesgo para los usuarios, pero un parche de seguridad solucionó el problema en su momento.
De acuerdo a correo Los investigadores de Kaspersky han descubierto una nueva versión del troyano Necro en dos aplicaciones de Google Play. La primera es la aplicación Wuta Camera, que se ha descargado más de 10 millones de veces, y la segunda es Max Browser, que se ha descargado más de 1 millón de veces. Los investigadores confirmaron que Google Kaspersky cerró las aplicaciones afectadas después de contactar con la empresa.
El principal problema surge de una gran cantidad de versiones “modificadas” no oficiales de aplicaciones populares, que están alojadas en una gran cantidad de sitios de terceros. Los usuarios pueden descargarlos e instalarlos accidentalmente en sus teléfonos. Androide dispositivos, hiriéndolos en el proceso. Algunos de los archivos APK de malware descubiertos por los investigadores incluyen versiones modificadas de SpotifyWhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox: estas versiones modificadas prometen a los usuarios acceso a funciones que normalmente requerirían una suscripción paga.
Curiosamente, los atacantes utilizan diversos métodos para atacar a los usuarios. Por ejemplo, la modificación de Spotify contenía un SDK que mostraba múltiples bloques de anuncios, según los investigadores. Se utilizó un servidor de comando y control (C&C) para implementar la carga útil del troyano si el usuario tocaba accidentalmente el módulo basado en imágenes.
Asimismo, en la modificación de WhatsApp se encontró que los atacantes habían reemplazado el servicio en la nube Firebase Remote Config de Google para usarlo como servidor C&C. En última instancia, la interacción con el módulo dará como resultado la implementación y ejecución de la misma carga útil.
Una vez implementado, el malware puede “descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces arbitrarios en ventanas WebView invisibles para ejecutar código JavaScript”, destacó Kaspersky. Además, también pueden suscribirse a costosos servicios de pago sin que el usuario lo sepa.
Si bien las aplicaciones ya se han eliminado de Google Play Store, se recomienda a los usuarios que tengan cuidado al descargar aplicaciones de Android de fuentes de terceros. Si no confían en la tienda, deberán abstenerse de descargar o instalar cualquier aplicación o archivo.