Versi baharu perisian hasad Necro kembali muncul untuk menjangkiti sekurang-kurangnya 11 juta peranti Android.
Necro Trojan, yang pertama kali ditemui oleh penyelidik keselamatan pada 2019, telah dipasang melalui kit pembangunan perisian pengiklanan berniat jahat (SDK) yang digunakan oleh aplikasi rasmi di Google Play Store, mod permainan serta versi ubah suai aplikasi popular (mod) seperti Spotify, WhatsApp dan MineCraft.
Aplikasi di Google Play Store
Kaspersky menemui kehadiran pemuat Necro pada dua aplikasi rasmi di Google Play Store. Yang pertama ialah Wuta Camera oleh Benqu, aplikasi suntingan foto dengan lebih 10 juta muat turun di Google Play.
Perisian hasad Necro itu ditemui dalam aplikasi dengan keluaran versi 6.3.2.148, dan ia kekal dibenamkan (embedded) sehingga versi 6.3.6.148, iaitu apabila Kaspersky memberitahu Google.
Walaupun trojan tersebut telah dialih keluar dalam versi 6.3.7.138, sebarang muatan yang telah dipasang melalui versi lama mungkin masih bersembunyi pada peranti Android.
Aplikasi kedua pula ialah Max Browser by WA message recover-wamr, yang mempunyai 1 juta muat turun di Google Play dan kini telah pun dialih keluar daripada platform itu.
Kaspersky mendakwa bahawa versi terbaharu Max Browser, 1.2.0, masih membawa Necro. Berikutan itu, pengguna yang telah memuat turun pelayar itu disyorkan untuk menyahpasangnya serta-merta dan beralih kepada pelayar lain.
Di luar sumber rasmi
Di luar Google Play Store, Necro Trojan turut disebarkan melalui versi ubah suai aplikasi popular (mod).
Antaranya termasuk mod WhatsApp ‘GBWhatsApp’ dan ‘FMWhatsApp’. Satu lagi ialah mod Spotify, ‘Spotify Plus’ yang menjanjikan akses percuma kepada perkhidmatan premium tanpa iklan.
Laporan itu juga menyebut mod Minecraft dan permainan popular lain seperti Stumble Guys, Car Parking Multiplayer dan Melon Sandbox.
Dalam semua kes, ia menggunakan cara yang sama – memaparkan iklan di latar belakang untuk menjana hasil penipuan bagi penyerang, memasang aplikasi dan APK tanpa kebenaran pengguna, menggunakan WebView yang tidak kelihatan untuk berinteraksi dengan perkhidmatan berbayar serta membuka pautan sewenang-wenangnya dan menjalankan sebarang kod JavaScript.
{suggest}
Sumber: BleepingComputer