Aplikacja pobrana miliony razy z Google Play okazała się nośnikiem malware

Za odkrycie to odpowiadają analitycy z rosyjskiej firmy Kaspersky (której antywirus niedawno został zakazany w Stanach Zjednoczonych). Oprócz wspomnianej już we wstępie Wuta Camery (wciąż dostępnej do pobrania ze Sklepu Play, aczkolwiek w wersji pozbawionej niechcianego bagażu), zainfekowana była jeszcze jedna aplikacja – Max Browser, aczkolwiek ta nie jest już dostępna do pobrania, chociaż zrobić to zdążyło mniej więcej milion osób.

Necro Trojan

Historia Necro Trojan, którego znaleziono w wymienionych w poprzednim akapicie apkach, sięga 2019 roku, kiedy to znalazł się on na pokładzie ściągniętego przeszło 100 milionów razy CamScannera. Nowa i udoskonalona wersja złośliwego oprogramowania powróciła wzbogacona o zdolność do unikania wykrycia przez popularne antywirusy, a pobierany przez nią na urządzenie przy wykorzystaniu steganografii szkodliwy ładunek jest pozornie nieszkodliwy.

Po ściągnięciu jest on w stanie uruchamiać dowolne pliki DEX (czyli skompilowany kod napisany z myślą o systemie Android), instalować dodatkowe aplikacje, zapisywać użytkownika do płatnych subskrypcji, wchodzić w interakcję z reklamami w niewidocznych oknach oraz otwierać linki i odpalać dowolny kod JavaScript, co daje spore pole do popisu osobom o niecnych zamiarach.

Oprócz napomkniętej już Wuta Camery i Max Browser dostępnych za pośrednictwem Google Play, Necro znaleziono także w wielu aplikacjach zamieszczanych w sieci, w tym zmodyfikowanych wersjach Spotify, WhatsAppa, Minecrafta, Stumble Guys, Car Parking Multiplayer oraz Melon Sandbox.

Więcej na temat zaistniałej sytuacji i trojana, któremu udało zinfiltrować się oficjalny sklep z aplikacjami Androida, możecie przeczytać we wpisie na stronie Kaspersky’ego.