خانه » تروجان Necro، یازده میلیون دستگاه اندروید را آلوده کرد!

تروجان Necro، یازده میلیون دستگاه اندروید را آلوده کرد!

توسط Vulnerbyte
21 بازدید
vulnerbyte - Necro - تروجان

کسپرسکی در سال 2019، تروجان Necro را در اپلیکیشن CamScanner، یک برنامه پرکاربرد اسکن و پردازش اسناد که در Google Play (گوگل پلی) موجود بود، کشف کرد. این برنامه در زمان شناسایی بدافزار، دارای بیش از 100 میلیون دانلود بود.

این اتفاق متأسفانه مجددا در سال 2024 تکرار شده است. نسخه جدیدی از لودر بدافزار Necro بر روی یازده میلیون دستگاه اندرویدی از طریق گوگل پلی در حملات مخرب زنجیره تامین SDK نصب شده است.

این بار، نسخه جدید تروجان Necro  از طریق کیت‌های توسعه نرم افزار تبلیغاتی مخرب (SDK) که توسط اپلیکیشن‌های قانونی، مدهای بازی اندروید و نسخه‌های اصلاح شده نرم افزارهای محبوب مانند Spotify، WhatsApp و Minecraft استفاده می‌شوند، نصب شده است.

تروجان Necro چندین پیلود را بر روی دستگاه‌های آلوده نصب و پلاگین‌های مخرب مختلفی را فعال می‌کند، از جمله:

  • ابزارهای تبلیغاتی مزاحم که لینک‌ها را از طریق پنجره‌های WebView نامرئی بارگیری می‌کنند (پلاگین Island، Cube SDK).
  • ماژول‌هایی که فایل‌های جاوا اسکریپت و DEX دلخواه را دانلود و اجرا می‌کنند (Happy SDK، Jar SDK).
  • ابزارهایی که به طور خاص برای تسهیل کلاهبرداری طراحی شده‌اند (افزونه وب، Happy SDK، افزونه Tap).
  • مکانیزم‌هایی که از دستگاه‌های آلوده به عنوان پروکسی برای مسیریابی ترافیک مخرب استفاده می‌کنند (افزونه NProxy).

 

تروجان Necro در گوگل پلی

کسپرسکی وجود لودر Necro  را در دو اپلیکیشن گوگل پلی شناسایی کرد که هر دو برنامه، پایگاه کاربری قابل توجهی دارند.

اولین مورد، اپلیکیشن Wuta Camera توسط ‘Benqu’ است. یک برنامه ویرایش و زیباسازی عکس با بیش از 10,000,000 بارگیری در گوگل پلی!!!

Wuta Camera - vulnerbyte - Necro - تروجان - NECRO TROJAN
اپلیکیشن Wuta Camera در گوگل پلی

تحلیلگران تهدید گزارش کرده‌اند که Necro در نسخه 6.3.2.148 تا 6.3.6.148 اپلیکیشن Wuta Camera وجود داد و در نسخه 6.3.7.138 حذف شده است.

چنانچه کاربران به نسخه جدید به روزرسانی کنند، باز هم ممکن است پیلودهایی که از طریق نسخه‌های قدیمی‌تر نصب شده‌اند، همچنان در دستگاه‌های اندرویدی باقی مانده باشند.

دومین اپلیکیشن قانونی که آلوده به تروجان Necro است، Max Browser یا مرورگر Max  نام دارد که توسط ‘WA message recover-wamr’ در گوگل پلی منتشر شده است. مرورگر Max  تا پیش از حذف از گوگل پلی، یک میلیون بار دانلود شده بود.

Max Browser - vulnerbyte - NECRO TROJAN
برنامه Max Browser در گوگل پلی

کسپرسکی مدعی است که آخرین نسخه مرورگر Max، یعنی 1.2.0، همچنان آلوده به تروجان Necro است و هنوز هیچ آپدیت جدیدی برای آن منتشر نشده است. از این رو، به کاربران این مرورگر وب توصیه می‌شود فوراً آن را حذف نصب کرده و به سراغ مرورگر دیگری بروند.

این دو اپلیکیشن توسط یک SDK تبلیغاتی به نام «Coral SDK» آلوده شده‌اند که از تکنیک مبهم‌سازی به منظور پنهان کردن فعالیت‌های مخرب خود استفاده می‌کند.

vulnerbyte - تروجان Necro - تروجان - NECRO TROJAN
دیاگرام نفوذ تروجان Necro

اپلیکیشن‌های آلوده به تروجان Necro  خارج از منابع رسمی

تروجان Necro  در خارج از فروشگاه Play Store، غالبا توسط نسخه‌های اصلاح‌ شده برنامه‌های محبوب (mod) که از طریق وب‌سایت‌های غیررسمی منتشر شده‌اند، توزیع می‌شود.

نمونه‌های قابل‌توجهی از این اپلیکیشن‌ها که توسط کسپرسکی مشاهده شده است عبارتند از GBWhatsApp و FMWhatsApp که کنترل‌های حریم خصوصی بهتر و محدودیت‌های اشتراک‌گذاری فایل را افزایش می‌دهند. مورد دیگر Spotify Plus است که دسترسی رایگان به سرویس پرمیوم بدون آگهی را وعده می‌دهد.

یک وب سایت در حال انتشار mod مخرب Spotify

سایر برنامه‌های آلوده

هنوز فهرست جامعی از برنامه‌های آلوده به تروجان Necro در دست نیست. کسپرسکی علاوه بر Spotify و WhatsApp و همچنین اپلیکیشن‌های موجود در گوگل پلی، چندین برنامه گیم (بازی) آلوده را یافته است، از جمله:

  • Minecraft
  • Stumble Guys
  • Car Parking Multiplayer
  • Melon Sandbox

با توجه به اینکه اپلیکیشن‌های مختلف از منابع متعدد، از جمله برنامه‌های رسمی، آلوده شده‌اند، کسپرسکی معتقد است که توسعه‌دهندگان از راه‌حل غیرقابل اعتمادی برای یکپارچه‌سازی تبلیغات استفاده کرده‌اند. این خود منجر به ظاهر شدن یک لودر مخرب در برنامه‌ها شده است.

نسخه جدید تروجان Necro، یک لودر چند مرحله‌ای است که از استگانوگرافی برای پنهان کردن پیلود مرحله دوم استفاده می‌کند. تکنیک بسیار نادری که برای بدافزارهای موبایل و همچنین مبهم‌سازی به منظور جلوگیری از شناسایی استفاده می‌شود.

معماری ماژولار، طیف وسیعی از گزینه‌ها را برای تحویل انبوه و هدفمند به‌روزرسانی‌های لودر یا ماژول‌های مخرب جدید بسته به برنامه آلوده به سازندگان این تروجان می‌دهد. برای جلوگیری از آلوده شدن دستگاه به این بدافزار:

  • چنانچه نسخه آلوده یکی از اپلیکیشن‌های فوق‌الذکر را نصب کرده‌اید، برنامه را به جدیدترین نسخه‌ به ‌روزرسانی کنید و یا آن را حذف نمایید.
  • برنامه‌ها را فقط از منابع رسمی دانلود کنید. برنامه‌های نصب شده از منابع غیر رسمی ممکن است دارای عملکرد مخرب باشند.
  • از یک راه حل امنیتی قابل اطمینان برای محافظت از دستگاه خود در برابر تلاش برای نصب بدافزار استفاده کنید.

 

قربانیان تروجان Necro

از آنجایی که وب‌سایت‌های غیررسمی نرم‌افزارهای اندرویدی، تعداد دقیق دانلودها را گزارش نمی‌دهند، به نظر می‌رسد که تعداد کل نفوذهای آخرین موج تروجان Necro، حداقل از 11 میلیون مورد گذشته باشد.

داده‌های کسپرسکی نشان می‌دهد که راه حل‌های امنیتی آنها بیش از ده هزار حمله تروجان Necro را در سراسر جهان بین 26 آگوست تا 15 سپتامبر مسدود کرده‌اند. روسیه، برزیل و ویتنام بیشترین تعداد حملات را تجربه کرده‌اند.

نمودار زیر توزیع حملات تروجان Necro را در کشورها و مناطقی نشان می‌دهد که کاربران اغلب با تروجان مواجه هستند:

vulnerbyte - Necro - تروجان - NECRO TROJAN
حملات تروجان Necro از 26 آگوست تا 15 سپتامبر 2024

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید