讯享网

 <p class="f_center"><img src="http://dingyue.ws.126.net/2024/0926/e16c764cg00skeor2006id200p00046g00gx002t.gif"/><br/></p><p id="320BL3V0">在恶意 SDK 供应链攻击中，Android 版 Necro 恶意软件加载程序的新版本通过 Google Play 安装在 1100 万台设备上。</p><p id="320BL3V1">此新版本的 Necro 木马通过合法应用程序、Android 游戏模组和流行软件如 Spotify、WhatsApp 和 Minecraft 的修改版所使用的恶意广告软件开发工具包 (SDK) 安装。</p><p id="320BL3V2">Necro 会在受感染的设备上安装多个有效负载并激活各种恶意插件，包括：</p><p id="320BL3V3"><strong>·</strong>通过不可见的 WebView 窗口加载链接的广告软件（Island 插件、Cube SDK）</p><p id="320BL3V4"><strong>·</strong>下载并执行任意 JavaScript 和 DEX 文件的模块（Happy SDK、Jar SDK）</p><p id="320BL3V5"><strong>·</strong>专门用于促进订阅欺诈的工具（Web 插件、Happy SDK、Tap 插件）</p><p id="320BL3V6"><strong>·</strong>使用受感染设备作为代理来路由恶意流量的机制（NProxy 插件）</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F0926%2F9d287e9dj00skeor3000sd200u0004ug00gx002q.jpg&thumbnail=660x&quality=80&type=jpg"/><br/>Google Play 上的 Necro Trojan<br/></p><p id="320BL3V7">卡巴斯基在 Google Play 上的两款应用中发现了 Necro 加载程序，这两款应用都拥有大量用户群。</p><p id="320BL3V8">第一个是“Benqu”开发的 Wuta Camera，这是一款照片编辑和美化工具，在 Google Play 上的下载量超过 10,000,000 次。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F0926%2F22e23bdfj00skeor500dsd200ie00ygg00gx00vo.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p id="320BL3VA">Google Play 上的“无他相机”应用</p><p id="320BL3VB">威胁分析师报告称，Necro 病毒在 6.3.2.148 版本发布时出现在该应用程序中，并一直嵌入到 6.3.6.148 版本，也就是卡巴斯基通知谷歌的时候。</p><p id="320BL3VC">虽然该木马在 6.3.7.138 版本中被删除，但任何可能通过旧版本安装的有效载荷可能仍潜伏在 Android 设备上。</p><p id="320BL3VD">第二个携带 Necro 的合法应用程序是“WA message recovery-wamr”的 Max Browser，在卡巴斯基报告发布后被移除之前，它在 Google Play 上的下载量达到 100 万次。</p><p id="320BL3VE">卡巴斯基声称，Max Browser 的最新版本 1.2.0 仍然携带 Necro，因此没有可供升级到的干净版本，建议网络浏览器用户立即卸载它并切换到其他浏览器。</p><p id="320BL3VF">卡巴斯基表示，这两款应用程序都感染了名为“Coral SDK”的广告 SDK，该 SDK 采用混淆技术隐藏其恶意活动，并使用图像隐写术下载伪装成无害 PNG 图像的第二阶段有效负载 shellPlugin。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F0926%2Ff9303a78j00skeor7009td200u000tpg00gx00gq.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p id="320BL3VH">Necro 的感染图</p><p id="320BL3VI">谷歌表示，他们已经知道被举报的应用程序并且正在对其进行调查。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F0926%2F9d287e9dj00skeor3000sd200u0004ug00gx002q.jpg&thumbnail=660x&quality=80&type=jpg"/><br/>外部官方来源<br/></p><p id="320BL3VJ">在 Play Store 之外，Necro 木马主要通过非官方网站分发的流行应用程序的修改版本 (mod) 进行传播。</p><p id="320BL3VK">卡巴斯基发现的著名例子包括 WhatsApp mods“GBWhatsApp”和“FMWhatsApp”，它们承诺提供更好的隐私控制和扩展的文件共享限制。另一个是 Spotify mod“Spotify Plus”，它承诺免费访问无广告的高级服务。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F0926%2F7aj00skeor900nwd200u000pjg00gx00ee.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p id="320BL3VM">传播恶意 Spotify mod 的网站</p><p id="320BL3VN">报告还提到了 Minecraft 模组以及其他热门游戏如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox 的模组，这些模组都感染了 Necro 加载程序。</p><p id="320BL3VO">在所有情况下，恶意行为都是相同的——在后台显示广告为攻击者创造欺诈性收入、在未经用户同意的情况下安装应用和 APK，以及使用不可见的 WebView 与付费服务进行交互。</p><p id="320BL3VP">由于非官方 Android 软件网站不提供可靠的下载数量报告，因此此次最新的 Necro 木马病毒感染总数尚不清楚，但来自 Google Play 的感染数量至少为 1100 万。</p><p id="320BL3VQ">参考及来源：https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/</p>