在 Android 用户关注的开发中,卡巴斯基实验室发现了 Necro 木马的新版本,这是一种能够感染数百万台设备的多阶段恶意软件加载程序。已发现这种最新变体潜伏在 Google Play 上提供的流行应用程序的修改版本和官方应用程序中,包括广泛使用的应用程序,例如 Wuta Camera 和 Max Browser。据估计,受感染的 Android 设备总数超过 1100 万台。
Necro 木马最初于 2019 年在 CamScanner 应用程序中发现,现已重新出现,利用 Google Play 等合法平台和非官方来源。这一次,它不仅损害了小众修改,还损害了 Spotify、WhatsApp mods、Minecraft 等知名应用程序。令人不安的是,这些受感染的版本已经通过非官方网站甚至官方应用商店进入用户设备,加剧了风险。
卡巴斯基的报告表明,该木马的创建者混合使用了混淆和隐写技术来逃避检测。隐写术是移动恶意软件中的一种罕见方法,用于将有效载荷隐藏在图像文件中,使标准安全系统难以检测和阻止。
感染始于安装恶意加载程序,通常嵌入在 Spotify Plus 等修改后的应用程序中,该应用程序错误地声称提供额外的功能。安装后,加载程序将与远程命令和控制 (C2) 服务器建立通信。此服务器提供加密响应,其中包括伪装在 PNG 图像文件的 ARGB 通道中的隐藏有效负载。然后,加载程序提取有效负载并执行它,让攻击者控制受感染的设备。
Necro 的功能不仅仅是展示广告。它还可以:
- 下载并执行任意代码(DEX 文件)。
- 安装其他恶意应用程序。
- 打开隐藏的 Web 窗口以运行 JavaScript,这可能会在用户不知情的情况下为用户订阅付费服务。
- 通过受害者的设备创建隧道,允许攻击者进一步访问敏感数据。
根据卡巴斯基的遥测数据,Necro 在俄罗斯、巴西和越南特别活跃,但其全球影响力正在扩大。在 2024 年 8 月下旬至 9 月中旬期间,这家安全公司在全球范围内阻止了超过 10,000 次 Necro 攻击。然而,鉴于该木马能够渗透到官方和非官方应用程序分发渠道,这个数字可能只代表总感染量的一小部分。
如果您下载了任何受感染的应用程序,立即采取行动至关重要。Kaspersky 建议采取以下步骤来保护您的设备:
- 更新或删除受感染的应用程序:确保您的应用程序(尤其是来自 Google Play 的应用程序)是最新的。Wuta Camera 和 Max Browser 的受感染版本已从商店中删除,并提供了没有恶意代码的更新版本。
- 坚持使用官方来源:避免从非官方网站下载应用程序,因为这些网站通常包含恶意软件。
- 使用可靠的安全解决方案:安装值得信赖的移动安全解决方案,可以在像 Necro 这样的威胁感染您的设备之前检测和阻止它们。