چگونه تروجان Necro (نِکرو)، 11 میلیون کاربر اندروید را آلوده کرد

کاربران نسخه های تغییر یافته Spotify، WhatsApp، Minecraft و سایر برنامه های Google Play در معرض خطر هستند.

ما همیشه از خوانندگان وبلاگ خود می خواهیم که هنگام بارگیری محتوا در دستگاه های خود بسیار مراقب باشند. به هر حال، حتی Google Play نیز از بدافزار مصون نیست – چه رسد به منابع غیررسمی با مودها و نسخه‌های هک‌شده. تا زمانی که دنیای دیجیتال به چرخش خود ادامه می‌دهد، تروجان‌ها راه خود را روی دستگاه‌هایی که حفاظت قابل اعتمادی ندارند، ادامه خواهند داد.

امروز ما داستان چگونگی قربانی شدن 11 میلیون کاربر اندروید در سراسر جهان به تروجان Necro را بیان می کنیم. در ادامه بخوانید تا بدانید در کدام برنامه‌ها آن را پیدا کردیم – و چگونه از خود محافظت کنید.

Necro چیست
شما ممکن است زمانی که برای اولین بار در سال 2019 در مورد Necro مطالبی مطرح شد را به خاطر بیاورید. در آن زمان، کارشناسان کسپرسکی یک تروجان را در CamScanner، یک برنامه تشخیص متن، کشف کردند که بیش از 100 میلیون بار در Google Play دانلود کرده بود. اکنون “نکرومانسرها” خون جدیدی را به تروجان قدیمی تزریق کرده اند: ما نسخه ای غنی تر از ویژگی ها را هم در برنامه های محبوب در Google Play و هم در حالت های مختلف برنامه در سایت های غیر رسمی پیدا کردیم. به احتمال زیاد، توسعه دهندگان این برنامه ها از یک ابزار یکپارچه سازی تبلیغات تایید نشده استفاده کرده اند که Necro از طریق آن به کد نفوذ کرده است.

Necro امروزی لودری است که برای جلوگیری از شناسایی مبهم شده است (اما این مانع از یافتن آن نشد). بارگیری مخرب را با استفاده از استگانوگرافی برای پنهان کردن کد آن در یک تصویر به ظاهر بی‌ضرر، به روشی حیله‌گرانه دانلود می‌کند.

و ماژول‌های مخرب دانلود شده می‌توانند فایل‌های DEX (کدهای کامپایل‌شده نوشته شده برای اندروید) را بارگیری و اجرا کنند، برنامه‌های دانلود شده را نصب کنند، از طریق دستگاه قربانی تونل کنند، و حتی – به طور بالقوه – اشتراک‌های پولی را حذف کنند. علاوه بر این، آنها می توانند تبلیغات را در پنجره های نامرئی نمایش دهند و با آنها تعامل داشته باشند، همچنین پیوندهای دلخواه را باز کرده و هر کد جاوا اسکریپت را اجرا کنند.

جایی که Necro پنهان می شود
ما ردی از بدافزار را در نسخه‌ای از Spotify که توسط کاربر اصلاح شده بود، در برنامه ویرایش عکس Wuta Camera، در Max Browser و در حالت‌های واتس‌اپ و بازی‌های محبوب (از جمله Minecraft) پیدا کردیم.

در Spotify مود شده
در همان ابتدای تحقیقات ما، تغییر غیرمعمول برنامه Spotify Plus چشم ما را جلب کرد. از کاربران دعوت شد تا نسخه جدیدی از برنامه مورد علاقه خود را از یک منبع غیررسمی دانلود کنند — به صورت رایگان و با اشتراک آنلاک که امکان گوش دادن نامحدود، هم به صورت آنلاین و هم غیرفعال را ارائه می دهد. دکمه سبز زیبا Download Spotify MOD APK بسیار وسوسه انگیز به نظر می رسد، درست است؟ صبر کنید! این یک بدافزار است اگر به ضمانت‌های تایید شده امنیتی و گواهی رسمی اهمیت ندهید. این برنامه ویران کننده است.

هنگامی که این برنامه راه اندازی شد، تروجان اطلاعات مربوط به دستگاه آلوده را به سرور C2 مهاجمان ارسال کرد و در پاسخ یک لینک برای دانلود یک تصویر PNG دریافت کرد. محموله مخرب با استفاده از steganography در این تصویر پنهان شده بود.

در برنامه های Google Play
در حالی که مد Spotify از طریق کانال‌های غیررسمی توزیع می‌شد، دوربین Wuta آلوده به نکرو راه خود را به Google Play پیدا کرد، جایی که برنامه بیش از 10 میلیون بار از آنجا دانلود شد. طبق اطلاعات ما، Necro loader به نسخه 6.3.2.148 Wuta Camera با نسخه های تمیز از 6.3.7.138 شروع شده است. بنابراین، اگر نسخه شما کمتر از آن است، باید فورا آپدیت کنید.

مخاطبان Max Browser بسیار کمتر است – فقط یک میلیون کاربر. Necro به کد برنامه خود در نسخه 1.2.0 نفوذ کرد. این برنامه به دنبال اعلان کسپرسکی از Google Play حذف شد، اما همچنان در منابع شخص ثالث در دسترس است. البته باید به این موارد کمتر اعتماد کرد، زیرا ممکن است نسخه های تروجانی شده مرورگر همچنان در آنجا زندگی کنند.

در حالت‌های واتس‌اپ، ماین کرافت و سایر برنامه‌های محبوب
مشتریان پیام رسان جایگزین معمولاً از ویژگی های بیشتری نسبت به پسرعموهای رسمی خود برخوردار هستند. اما باید همه مدها را، چه در گوگل پلی یا یک سایت شخص ثالث، مشکوک تلقی کنید، زیرا اغلب همراه با تروجان ها هستند.

به عنوان مثال، ما مدهایی را برای WhatsApp با بارگیری Necro که از منابع غیر رسمی توزیع می شود، و همچنین مودهایی برای Minecraft، Stumble Guys، Car Parking Multiplayer و Melon Sandbox پیدا کردیم. و این انتخاب مطمئناً تصادفی نیست – مهاجمان همیشه محبوب‌ترین بازی‌ها و برنامه‌ها را هدف قرار می‌دهند.

چگونه از نکرو در امان بمانیم؟
اول از همه، ما به شدت توصیه می کنیم که برنامه ها را از منابع غیر رسمی دانلود نکنید زیرا خطر آلوده شدن دستگاه بسیار زیاد است. ثانیاً، برنامه‌های موجود در Google Play و سایر پلتفرم‌های رسمی نیز باید با دوز سالمی از شک و تردید برخورد کنند. حتی اپلیکیشن محبوبی مانند Wuta Camera با 10 میلیون دانلود در مقابل Necro ناتوان شد.

مطمئن شوید که از دستگاه های خود محافظت کنید تا توسط یک تروجان غافلگیر نشوید. Kaspersky برای اندروید Necro و سایر بدافزارهای مشابه را شناسایی می کند.
قبل از دانلود، صفحه برنامه را در فروشگاه بررسی کنید. ما به ویژه توصیه می‌کنیم به بررسی‌هایی با رتبه‌بندی پایین نگاه کنید، زیرا این موارد معمولاً در مورد مشکلات احتمالی هشدار می‌دهند. بررسی های Rave می تواند جعلی باشد، در حالی که نمره کلی بالا به راحتی قابل افزایش است.
به دنبال مودها یا نسخه های هک شده نباشید. چنین برنامه هایی تقریباً همیشه پر از انواع تروجان ها هستند: از بی ضررترین تا جاسوس افزارهای موبایلی مانند CanesSpy.

ترجمه:
پیشگامان تجارت امن ایرانیان