{"id":29209,"date":"2024-09-27T11:03:25","date_gmt":"2024-09-27T09:03:25","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29209"},"modified":"2024-09-27T11:03:25","modified_gmt":"2024-09-27T09:03:25","slug":"necro-infects-android-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/necro-infects-android-users\/29209\/","title":{"rendered":"Come il trojan Necro ha attaccato 11 milioni di utenti Android"},"content":{"rendered":"

Noi di Kaspersky Daily esortiamo<\/a> sempre i lettori del nostro blog a prestare la massima attenzione quando scaricano contenuti sui propri dispositivi. Dopotutto, nemmeno Google Play \u00e8 immune ai malware<\/a>, per non parlare di tutte le fonti non ufficiali che offrono mod e versioni compromesse. Finch\u00e9 la ruota del mondo digitale continuer\u00e0 a girare, i trojan continueranno a penetrare in dispositivi sprovvisti di una protezione affidabile<\/a><\/strong><\/p>\n

Oggi raccontiamo come 11 milioni di utenti Android in tutto il mondo siano stati vittima del trojan Necro. Continua a leggere per scoprire in quali app l\u2019abbiamo trovato e cosa fare per proteggerti.<\/p>\n

Cos\u2019\u00e8 Necro<\/h2>\n

I lettori abituali potrebbero ricordarsi di quando abbiamo scritto<\/a> di Necro per la prima volta nel 2019. All\u2019epoca i nostri esperti avevano scoperto un trojan in CamScanner, un\u2019app di riconoscimento del testo che vantava oltre 100 milioni di download su Google Play. Oggi i \u201cnegromanti\u201d hanno iniettato nuova linfa nel vecchio trojan: abbiamo infatti trovato una versione pi\u00f9 ricca di funzioni sia nelle app popolari su Google Play che in varie mod su siti non ufficiali. Molto probabilmente gli sviluppatori di queste app hanno usato uno strumento di integrazione degli annunci pubblicitari non verificato grazie al quale Necro si \u00e8 infiltrato nel codice.<\/p>\n

Il Necro di oggi \u00e8 un loader<\/a> offuscato<\/a> per aggirare il rilevamento (la qual cosa non ci ha impedito di trovarlo). Il loader scarica il contenuto dannoso in modo altrettanto scaltro, ovvero tramite steganografia<\/a>, per nascondere il codice in un\u2019immagine apparentemente innocua.<\/p>\n

Il contenuto dannoso \u00e8 in grado di caricare ed eseguire qualsiasi file DEX<\/a> (codice compilato per Android), installare le app scaricate, eseguire il tunneling del dispositivo della vittima e, persino, arrivare a sottoscrivere di nascosto abbonamenti a pagamento. Inoltre, pu\u00f2 visualizzare e interagire con gli annunci pubblicitari in finestre invisibili, nonch\u00e9 aprire collegamenti arbitrari ed eseguire qualsiasi codice JavaScript.<\/p>\n

Per ulteriori informazioni su come \u00e8 fatto e funziona Necro, consulta il nostro blog Securelist<\/a>.<\/p>\n

Dove si nasconde Necro<\/h2>\n

Tracce del malware sono state trovate in una mod di Spotify, nell\u2019app di fotoritocco Wuta Camera, in Max Browser e in mod per WhatsApp e giochi molto noti (incluso Minecraft).<\/p>\n

In una mod di Spotify<\/h3>\n

Proprio all\u2019inizio della nostra indagine, la nostra attenzione \u00e8 stata attirata da una modifica insolita dell\u2019app Spotify Plus. Gli utenti venivano invogliati a scaricare una nuova versione della loro app preferita da una fonte non ufficiale, gratuita e con un abbonamento sbloccato che offriva ascolto illimitato, sia online che offline. Il bel pulsante verde Scarica Spotify MOD APK<\/em> \u00e8 davvero allettante, non trovi? Fermo! \u00c8 un malware. Non lasciarti fuorviare dalle garanzie Security Verified<\/em> e Official Certification<\/em>: questa app scatener\u00e0 il caos.<\/p>\n

\"Orrore!

Orrore! Tutte le versioni sono visualizzabili. Necro o altri trojan potrebbero nascondersi anche l\u00ec?<\/p><\/div>\n

Quando questa app \u00e8 entrata in circolazione, il trojan ha iniziato a inviare informazioni sul dispositivo infetto al server C2 degli autori degli attacchi, ricevendo in risposta un collegamento per scaricare un\u2019immagine PNG. Il contenuto dannoso era nascosto<\/a> in questa immagine grazie alla steganografia.<\/p>\n

Nelle app su Google Play<\/h3>\n

Se da un lato la mod di Spotify era distribuita attraverso canali non ufficiali, l\u2019app Wuta Camera infettata da Necro \u00e8 riuscita ad arrivare su Google Play per essere poi scaricata oltre 10 milioni di volte. Secondo i nostri dati, il loader Necro \u00e8 penetrato nella versione 6.3.2.148 di Wuta Camera, mentre le versioni ripulite partono dalla 6.3.7.138. Pertanto, se la tua versione \u00e8 precedente, devi eseguire immediatamente l\u2019aggiornamento.<\/p>\n

\"L'impressionante

L\u2019impressionante numero di download e le valutazioni positive hanno fatto da scudo a un trojan<\/p><\/div>\n

Il pubblico di Max Browser \u00e8 molto pi\u00f9 ristretto: solo un milione di utenti. Necro si \u00e8 infiltrato nel codice della versione 1.2.0. L\u2019app \u00e8 stata rimossa da Google Play in seguito alla nostra notifica, ma \u00e8 ancora disponibile su risorse di terze parti. Queste, ovviamente, devono essere considerate ancora meno attendibili, poich\u00e9 potrebbero a tutt\u2019oggi ospitare le versioni trojan del browser.<\/p>\n

Nelle mod per WhatsApp, Minecraft e altre app popolari<\/h3>\n

I client di messaggistica alternativi vantano solitamente pi\u00f9 funzionalit\u00e0 rispetto alle controparti ufficiali. Tuttavia, dovresti sempre considerare tutte le mod, su Google Play o su un sito di terze parti, come sospette<\/a>, poich\u00e9 spesso sono accompagnate da trojan<\/a>.<\/p>\n

Ad esempio, abbiamo trovato mod per WhatsApp affette dal loader Necro distribuite da fonti non ufficiali, e cos\u00ec anche mod per Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox. Questa selezione non \u00e8 di certo casuale: gli autori degli attacchi prendono sempre di mira i giochi e le app pi\u00f9 popolari<\/a>.<\/p>\n

Come proteggersi da Necro<\/h2>\n

Prima di tutto, sconsigliamo vivamente di scaricare app da fonti non ufficiali<\/a> perch\u00e9 il rischio di infezione del dispositivo \u00e8 estremamente elevato. In secondo luogo, le app su Google Play e altre piattaforme ufficiali vanno trattate anch\u2019esse con una sana dose di scetticismo. Persino un\u2019app popolare come Wuta Camera, con 10 milioni di download, si \u00e8 rivelata impotente di fronte a Necro.<\/p>\n