De acordo com pesquisadores de segurança, alguns aplicativos do Google Play e modificações não oficiais de aplicativos populares estão sendo alvo de invasores para espalhar malware perigoso. O suposto Trojan Necro pode registrar pressionamentos de teclas, roubar informações confidenciais, instalar malware adicional e executar comandos remotamente. Dois aplicativos foram detectados na loja de aplicativos do Google Play contendo esse malware. Além disso, descobriu-se que pacotes de aplicativos Android (APKs) modificados (modificados), incluindo aplicativos como Spotify, WhatsApp e jogos como Minecraft, também distribuíam o Trojan.
Google Play Apps, arquivos APK modificados usados para espalhar o Trojan Necro
O Trojan da família Necro foi detectado pela primeira vez em 2019, quando um malware infectou o popular aplicativo de criação de PDF CamScanner. A versão oficial do aplicativo no Google Play, com mais de 100 milhões de downloads, representava um risco para os usuários, mas um patch de segurança resolveu o problema.
De acordo com A publicar pelos pesquisadores da Kaspersky, uma nova versão do Trojan Necro foi detectada em dois aplicativos do Google Play. O primeiro é o aplicativo Wuta Camera, que foi baixado mais de 10 milhões de vezes, e o segundo é o Max Browser, com mais de um milhão de downloads. Os pesquisadores confirmaram que o Google removeu os aplicativos infectados depois que a Kaspersky contatou a empresa.
O principal problema decorre do grande número de versões “modificadas” não oficiais de aplicativos populares que podem ser encontradas em muitos sites de terceiros. Os usuários podem baixá-los e instalá-los por engano em seus dispositivos Android, infectando-os no processo. Alguns dos arquivos APK de malware detectados pelos pesquisadores incluem versões modificadas do Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox – essas versões modificadas dão aos usuários acesso a recursos que normalmente exigem uma assinatura paga.
Curiosamente, os invasores parecem estar usando uma variedade de métodos para atacar os usuários. Por exemplo, o mod Spotify incluía um SDK que, segundo os pesquisadores, exibia vários módulos de publicidade. Um servidor de comando e controle (C&C) foi usado para implantar a carga do Trojan se o usuário tocasse acidentalmente no módulo baseado em imagem.
Da mesma forma, no caso do mod WhatsApp, foi descoberto que os invasores substituíram o serviço de nuvem Firebase Remote Config do Google para usá-lo como um servidor de comando e controle. Em última análise, a interação com o módulo implantará e executará a mesma carga útil.
Uma vez implantado, o malware pode “baixar arquivos executáveis, instalar aplicativos de terceiros e abrir links arbitrários em janelas invisíveis do WebView para executar código JavaScript”, destacou a postagem da Kaspersky. Além disso, também pode assinar serviços pagos e caros sem o conhecimento do usuário.
Embora os aplicativos do Google Play tenham sido removidos, os usuários são aconselhados a ter cuidado ao baixar aplicativos Android de fontes de terceiros. Se não confiam no mercado, devem abster-se de baixar ou instalar quaisquer aplicativos ou arquivos.
