称安卓手机杀手，1100 万台设备被植入恶意软件

近日，有研究人员发现在恶意 SDK 供应链攻击中，有黑客通过 Google Play 在 1100 万台设备上安装了新版本的 Necro 恶意安卓载入器。

这种新版 Necro 木马是通过合法应用程序、安卓游戏 mod 和 Spotify、WhatsApp 和 Minecraft 等流行软件的修改版所使用的恶意广告软件开发工具包 (SDK) 安装的。

Necro 会在受感染设备上安装多个有效载荷，并激活各种恶意插件，包括：

• 通过隐形 WebView 窗口加载链接的广告软件（Island 插件、Cube SDK）

• 下载和执行任意 JavaScript 和 DEX 文件的模块（Happy SDK、Jar SDK）

• 专为订阅欺诈提供便利的工具（Web 插件、Happy SDK、Tap 插件）

• 将受感染设备用作代理来路由恶意流量的机制（NProxy 插件）

• Google Play 上的 Necro 木马

卡巴斯基在 Google Play 上的两个应用程序中发现了 Necro 载入器，这两个应用程序都拥有大量用户。

第一个是 “Benqu ”的 Wuta Camera，这是一款照片编辑和美化工具，在 Google Play 上的下载量超过 1000万次。

Google Play 上的 Wuta 相机应用程序，来源：BleepingComputer

威胁分析师报告称，Necro是在6.3.2.148版本发布时出现在该应用上的，直到6.3.6.148版本，卡巴斯基才通知谷歌。

虽然该木马在6.3.7.138版本中被移除，但任何可能通过旧版本安装的有效载荷仍可能潜伏在安卓设备上。

第二个携带 Necro 的合法应用程序是 “WA message recover-wamr ”的 Max Browser，它在 Google Play 上有 100 万下载量，直到卡巴斯基报告后才被删除。

卡巴斯基称，Max Browser的最新版本1.2.0仍携带Necro，目前暂没有安全版本可供升级，建议该浏览器的用户立即卸载，换用其他浏览器。

卡巴斯基称，这两款应用程序是被一个名为 “Coral SDK ”的广告SDK感染的，该SDK主要采用混淆技术来隐藏其恶意活动，同时还利用图像隐写术来下载第二级有效载荷shellPlugin，并伪装成无害的PNG图像。

感染链路图 来源：卡巴斯基

谷歌表示他们知道这些被举报的应用程序，并正在对其进行调查。

在 Play Store 之外，Necro 木马主要通过非官方网站发布的流行应用程序的修改版本（mods）进行传播。

卡巴斯基发现的著名例子包括 WhatsApp mods “GBWhatsApp ”和 “FMWhatsApp”，它们承诺提供更好的隐私控制和扩展文件共享限制。另一个例子是 Spotify mod “Spotify Plus”，它承诺免费使用无广告的高级服务。

传播恶意 Spotify Mod 的网站 来源：卡巴斯基

报告中还提到了感染 Necro 载入器的 Minecraft mod 和其他流行游戏的 mod，如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。

在所有情况下，恶意行为都是在后台显示广告为攻击者带来欺诈性收入、未经用户同意安装应用程序和 APK，以及使用隐形 WebViews 与付费服务进行交互。

由于非官方的安卓软件网站不会如实报告下载数量，因此最新一轮 Necro 木马感染的总数量尚不得而知，但至少有 1100 万次来自 Google Play。

索尼PS5和微软Xbox网络双双崩溃中断影响全球玩家