TIC Defense explica cómo el troyano Necro ha infectado millones de dispositivos Android
En TIC Defense siempre aconsejamos a los usuarios a mantener un especial cuidado al descargar contenido en todos sus dispositivos. Si bien las plataformas oficiales de apps como Google Play pueden parecer 100% seguras, no están libres de sufrir incidentes relacionados con el malware. Además, esta vulnerabilidad es mayor en fuentes no oficiales que distribuyen mods o versiones pirateadas y peligrosas.
La realidad de todo esto es que, mientras el mundo digital siga evolucionando a pasos agigantados como va, todo tipo de software malicioso como los troyanos, van a continuar buscando formas de infiltrarse en dispositivos desprotegidos.
A continuación, vas a ver cómo 11 millones de usuarios de Android alrededor del mundo pudieron ser víctimas de un troyano llamado Necro. Según informes, se tiene rastro de este troyano desde el año 2019. En esta ocasión, se pudo identificar este software malicioso desde la popular app llamada CamScanner, la cual ha sido descargada más de 100 millones de veces desde la Google Play.
Ahora, los hackers maliciosos detrás de este malware, son apodados los “necromancers”. Pues bien, han mejorado y actualizado el programa maligno Necro. Esta nueva versión ha sido identificada tanto en apps populares de Google Play como mods de aplicaciones distribuidas en canales no oficiales. Los expertos sugieren que los desarrolladores de algunas de estas aplicaciones han integrado una herramienta publicitaria no verificada, lo que permite al malware Necro insertarse en su código fácilmente.
Esta nueva iteración del troyano actúa como un cargador ofuscado que fue diseñado para evadir cualquier detección. Por suerte, se ha logrado identificar hasta los momentos. Necro emplea técnicas sofisticadas para desplegar su carga maliciosa, usando la esteganografía para ocultar código dentro de una imagen aparentemente inocua.
Además, los módulos maliciosos que Necro puede descargar, pueden ejecutar cualquier archivo de código compilado para Android o archivos DEX, puede instalar aplicaciones no deseadas, poner en modo túnel dispositivos y, potencialmente, puede activar suscripciones de pago sin el consentimiento del usuario. Del mismo modo, pueden desplegar anuncios y generar interacciones visibles con los usuarios, con el fin de abrir enlaces específicos y ejecutar cualquier código JavaScript.
Durante la investigación, los especialistas rastrearon la presencia de este troyano en distintas aplicaciones, en donde se incluye una versión modificada de Spotify, la aplicación fotográfica llamada Wuta Camera, además, se puede encontrar en Max Browser, así como en mods de WhatsApp y diversos juegos populares, entre los que se incluyen Minecraft.
Además, los especialistas descubrieron una modificación inusual de Spotify Plus, una versión que prometía acceso gratuito a funciones Premium desde fuentes no oficiales. La supuesta página de descarga, la cual tenía un atractivo botón verde que ofrecía una APK modificada, aseguraba una experiencia mejorada y sin restricciones, tanto online como fuera de línea.
Sin embargo, esto era una trampa a todas luces; al descargar y abrir la aplicación, este troyano comenzaba a recolectar información del dispositivo infectado y la enviaba a un servidor de Comando y Control o C2. Como respuesta, el equipo comprometido recibía un enlace para descargar una imagen con formato PNG que contenía la carga maliciosa, en donde se ocultaba mediante la esteganografía.
