Malware para Android infecta 11 milhões de dispositivos por meio de aplicativos legítimos na Play Store

A nova versão do Trojan “Necro” foi distribuída através de kits de desenvolvimento de software (SDK) de publicidade maliciosos, utilizados por apps legítimos, mods de jogos para Android e versões modificadas de softwares populares, como Spotify, WhatsApp e Minecraft.

O malware instala múltiplas cargas maliciosas nos dispositivos infectados e ativa diversos plugins perigosos, incluindo adware que carrega links por meio de janelas WebView invisíveis, módulos que baixam e executam arquivos JavaScript e DEX arbitrários, e mecanismos que transformam os dispositivos infectados em proxies para direcionar tráfego malicioso.

A presença do Necro foi identificada pela Kaspersky no aplicativo “Wuta Camera”, da empresa “Benqu” — uma ferramenta de edição e embelezamento de fotos — que acumula mais de 10 milhões de downloads. Embora o malware tenha sido removido na versão 6.3.7.138, qualquer carga maliciosa instalada em versões anteriores ainda pode estar presente nos dispositivos afetados.

Outro aplicativo comprometido foi o “Max Browser“, da “WA message recover-wamr”, que conta com 1 milhão de downloads e ainda não recebeu uma atualização para remover o malware.

De acordo com a Kaspersky, os dois aplicativos foram infectados por um SDK de publicidade chamado “Coral SDK“, que utiliza técnicas de ofuscação para ocultar suas atividades maliciosas e também emprega esteganografia em imagens para baixar uma segunda carga maliciosa, denominada “shellPlugin“, disfarçada como imagens PNG inofensivas.