TIC Defense te explica cómo un troyano atacó a 11 millones de usuarios del sistema Android
TIC Defense siempre ha recomendado a lectores y usuarios que deben prestar atención al descargar contenido en sus smartphones y en sus dispositivos móviles. Esto debido a que ni siquiera la Google Play Store es inmune al malware y otros ciberataques, mucho menos lo son las fuentes no oficiales con mods y otras versiones pirateadas.
Mientras el mundo digital siga en pie, los troyanos, el malware y otros vectores de ataque van a seguir existiendo e infectando a aquellos dispositivos que no tengan una protección confiable y al 100%. En este caso, hay 11 millones de víctimas del troyano Necro, por lo que debes saber todo acerca de este ataque.
El troyano Necro fue descubierto en el año 2019, cuando los expertos detectaron un troyano en la aplicación CamScanner, la cual es de reconocimiento de texto y que se había descargado más de 100 millones de veces en la Google Play Store.
En estos tiempos, los ciberdelincuentes han añadido nuevas funcionalidades al viejo troyano, debido a que se ha encontrado más funciones en aplicaciones oficiales de Google Play y en mods de aplicaciones en diversos sitio no oficiales. Es probable que los desarrolladores de dichas aplicaciones utilizaran una herramienta para integrar anuncios no verificada, mediante la cual el troyano pudo infiltrarse en el código.
Por ello, el troyano actual es un cargador ofuscado y así evita ser detectado, aunque esto no impidió a los especialistas detectarlo. Además, puede descargar una carga maliciosa de una forma no menos inteligente, ya que usa la esteganografía, con el fin de ocultar el código en una imagen inofensiva, aparentemente.
Luego, los módulos maliciosos descargados pueden cargar y ejecutar cualquier archivo de tipo DEX, un código compilado escrito para Android. También, puede instalar aplicaciones descargadas, poner el dispositivo de la víctima en modo túnel e incluso, puede contratar suscripciones de pago, potencialmente. Del mismo modo, puede mostrar anuncios e interactuar con los mismos en ventanas invisibles, además de abrir enlaces arbitrarios y ejecutar cualquier código escrito en JavaScript.
Los expertos encontraron algunos rastros de este malware en una versión de Spotify modificada por usuarios, en la app de edición de fotografías llamada Wuta Camera. Igualmente, se encontró en Max Browser y en versiones modificadas tanto de la aplicación de mensajería WhatsApp, como en juegos populares, incluido Minecraft.
Al comienzo de la investigación, una modificación inusual de la aplicación Spotify Plus llamó la atención del equipo de seguridad. Se invitaba a los usuarios a descargar una nueva versión de la aplicación desde una fuente no oficial, de manera gratuita y con una suscripción Premium desbloqueadas.
Cuando se abría esta aplicación, el troyano enviaba información acerca del equipo infectado al servidor C2 de los hackers maliciosos y, en respuesta, obtenía un enlace para descargar una imagen de tipo .PNG. La imagen en cuestión contenía la carga maliciosa, ocultada mediante esteganografía.
Si bien el mod de Spotify se estaba distribuyendo mediante canales no oficiales, la aplicación llamada Wuta Camera infectada por el troyano llegó hasta la misma Google Play Store, en donde se descargó más de 10 millones de veces. Si eres usuario de esta aplicación y no tienes la versión 6.3.7.138, debes actualizarla inmediatamente.
