近日,有研究人员发现在恶意 SDK 供应链攻击中,有黑客通过 Google Play 在 1100 万台设备上安装了新版本的 Necro 恶意安卓载入器。
这种新版 Necro 木马是通过合法应用程序、安卓游戏 mod 和 Spotify、WhatsApp 和 Minecraft 等流行软件的修改版所使用的恶意广告软件开发工具包 (SDK) 安装的。
Necro 会在受感染设备上安装多个有效载荷,并激活各种恶意插件,包括:
通过隐形 WebView 窗口加载链接的广告软件(Island 插件、Cube SDK)
下载和执行任意 JavaScript 和 DEX 文件的模块(Happy SDK、Jar SDK)
专为订阅欺诈提供便利的工具(Web 插件、Happy SDK、Tap 插件)
将受感染设备用作代理来路由恶意流量的机制(NProxy 插件)
Google Play 上的 Necro 木马
卡巴斯基在 Google Play 上的两个应用程序中发现了 Necro 载入器,这两个应用程序都拥有大量用户。
第一个是 “Benqu ”的 Wuta Camera,这是一款照片编辑和美化工具,在 Google Play 上的下载量超过 1000万次。
Google Play 上的 Wuta 相机应用程序,来源:BleepingComputer
威胁分析师报告称,Necro是在6.3.2.148版本发布时出现在该应用上的,直到6.3.6.148版本,卡巴斯基才通知谷歌。
虽然该木马在6.3.7.138版本中被移除,但任何可能通过旧版本安装的有效载荷仍可能潜伏在安卓设备上。
第二个携带 Necro 的合法应用程序是 “WA message recover-wamr ”的 Max Browser,它在 Google Play 上有 100 万下载量,直到卡巴斯基报告后才被删除。
卡巴斯基称,Max Browser的最新版本1.2.0仍携带Necro,目前暂没有安全版本可供升级,建议该浏览器的用户立即卸载,换用其他浏览器。
卡巴斯基称,这两款应用程序是被一个名为 “Coral SDK ”的广告SDK感染的,该SDK主要采用混淆技术来隐藏其恶意活动,同时还利用图像隐写术来下载第二级有效载荷shellPlugin,并伪装成无害的PNG图像。
感染链路图 来源:卡巴斯基
谷歌表示他们知道这些被举报的应用程序,并正在对其进行调查。
Necro 木马也通过其他非官方渠道传播
在 Play Store 之外,Necro 木马主要通过非官方网站发布的流行应用程序的修改版本(mods)进行传播。
卡巴斯基发现的著名例子包括 WhatsApp mods “GBWhatsApp ”和 “FMWhatsApp”,它们承诺提供更好的隐私控制和扩展文件共享限制。另一个例子是 Spotify mod “Spotify Plus”,它承诺免费使用无广告的高级服务。
传播恶意 Spotify Mod 的网站 来源:卡巴斯基
报告中还提到了感染 Necro 载入器的 Minecraft mod 和其他流行游戏的 mod,如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。
在所有情况下,恶意行为都是在后台显示广告为攻击者带来欺诈性收入、未经用户同意安装应用程序和 APK,以及使用隐形 WebViews 与付费服务进行交互。
由于非官方的安卓软件网站不会如实报告下载数量,因此最新一轮 Necro 木马感染的总数量尚不得而知,但至少有 1100 万次来自 Google Play。