Троян Necro, ранее обнаруженный в 2019 году, вновь атакует пользователей Android. На этот раз он заразил уже более 11 миллионов устройств.
Новая версия Necro отличается от предыдущей несколькими ключевыми особенностями. Она использует методы обфускации (запутывания кода) для избежания обнаружения и скрывает свой вредоносный код в безобидных изображениях PNG. Кроме того, различные вредоносные модули могут быть смешаны и сопоставлены для различных действий на зараженных устройствах.
Троян распространяется в основном через непроверенные инструменты интеграции рекламы, используемые разработчиками приложений, неофициальные источники приложений и модифицированные версии популярных приложений. На этот раз Necro был обнаружен в Wuta Camera, Max Browser и модифицированных версиях Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox.
После развертывания Necro обладает несколькими неприятными возможностями, включая загрузку и выполнение файлов DEX, установку дополнительных приложений и туннелирование через устройство жертвы для маршрутизации вредоносного трафика или обхода сетевой безопасности. Троян также может отменять платные подписки, взаимодействовать с рекламой в невидимых окнах для получения мошеннического дохода от рекламы и открывать произвольные ссылки для выполнения кода JavaScript. Кроме того, он загружает пользовательские данные на контролируемые злоумышленниками серверы и загружает вредоносный код с повышенными системными правами.
Чтобы защититься от Necro, необходимо соблюдать несколько общих мер предосторожности. Не загружайте приложения из неофициальных источников и будьте осторожны даже с приложениями из официальных платформ. Также избегайте модифицированных или взломанных версий приложений.