近日,有研究人员发现在恶意 SDK 供应链攻击中,有黑客通过 Google Play 在 1100 万台设备上安装了新版本的 Necro 恶意安卓载入器。
这种新版 Necro 木马是通过合法应用程序、安卓游戏 mod 和 Spotify、WhatsApp 和 Minecraft 等流行软件的修改版所使用的恶意广告软件开发工具包 (SDK) 安装的。
Necro 会在受感染设备上安装多个有效载荷,并激活各种恶意插件,包括:
- 通过隐形 WebView 窗口加载链接的广告软件(Island 插件、Cube SDK)
- 下载和执行任意 JavaScript 和 DEX 文件的模块(Happy SDK、Jar SDK)
- 专为订阅欺诈提供便利的工具(Web 插件、Happy SDK、Tap 插件)
- 将受感染设备用作代理来路由恶意流量的机制(NProxy 插件)
Google Play 上的 Necro 木马
卡巴斯基在 Google Play 上的两个应用程序中发现了 Necro 载入器,这两个应用程序都拥有大量用户。
第一个是 “Benqu ”的 Wuta Camera,这是一款照片编辑和美化工具,在 Google Play 上的下载量超过 1000万次。
Google Play 上的 Wuta 相机应用程序,来源:BleepingComputer
威胁分析师报告称,Necro是在6.3.2.148版本发布时出现在该应用上的,直到6.3.6.148版本,卡巴斯基才通知谷歌。
虽然该木马在6.3.7.138版本中被移除,但任何可能通过旧版本安装的有效载荷仍可能潜伏在安卓设备上。
第二个携带 Necro 的合法应用程序是 “WA message recover-wamr ”的 Max Browser,它在 Google Play 上有 100 万下载量,直到卡巴斯基报告后才被删除。
卡巴斯基称,Max Browser的最新版本1.2.0仍携带Necro,目前暂没有安全版本可供升级,建议该浏览器的用户立即卸载,换用其他浏览器。
卡巴斯基称,这两款应用程序是被一个名为 “Coral SDK ”的广告SDK感染的,该SDK主要采用混淆技术来隐藏其恶意活动,同时还利用图像隐写术来下载第二级有效载荷shellPlugin,并伪装成无害的PNG图像。
感染链路图 来源:卡巴斯基
谷歌表示他们知道这些被举报的应用程序,并正在对其进行调查。
Necro 木马也通过其他非官方渠道传播
在 Play Store 之外,Necro 木马主要通过非官方网站发布的流行应用程序的修改版本(mods)进行传播。
卡巴斯基发现的著名例子包括 WhatsApp mods “GBWhatsApp ”和 “FMWhatsApp”,它们承诺提供更好的隐私控制和扩展文件共享限制。另一个例子是 Spotify mod “Spotify Plus”,它承诺免费使用无广告的高级服务。
传播恶意 Spotify Mod 的网站 来源:卡巴斯基
报告中还提到了感染 Necro 载入器的 Minecraft mod 和其他流行游戏的 mod,如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。
在所有情况下,恶意行为都是在后台显示广告为攻击者带来欺诈性收入、未经用户同意安装应用程序和 APK,以及使用隐形 WebViews 与付费服务进行交互。
由于非官方的安卓软件网站不会如实报告下载数量,因此最新一轮 Necro 木马感染的总数量尚不得而知,但至少有 1100 万次来自 Google Play。
