Несмотря на предпринимаемые усилия, даже магазин Google Play на Android не застрахован от опасных программ. На этот раз 11 млн обладателей системы пострадали от трояна под именем Necro. Он известен ещё с 2019 года, когда был найден в программе CamScanner. Это было крайне популярное приложение, скачанное более 100 млн раз.
Теперь найдена новая версия трояна. Зафиксировали его как в магазине, так и на сторонних ресурсах. Попасть в программы он мог через инструменты интеграции рекламы.
На этот раз Necro — это загрузчик, замаскированный для избегания обнаружения. Он загружает вредоносные данные, используя хитрый приём — стеганографию, пряча код в на первый взгляд безобидном изображении.
Загруженные модули могут запускать файлы DEX (скомпилированный код для Android). Могут устанавливаться дополнительные приложения и покупаться премиальные подписки, а также незаметно отображаться реклама.
Следы этого ПО оказались в изменённой версии Spotify, программе для редактирования фото Wuta Camera, в Max Browser, а также в модах для WhatsApp и играх, таких как Minecraft. Necro Wuta Camera в магазине установили свыше 10 млн раз. Заражена версия 6.3.2.148, а безопасны новые версии от 6.3.7.138.
Max Browser с числом скачиваний в миллион из магазина уже удалили, но его можно найти в других местах. Найдены моды для WhatsApp с Necro, моды ряда других программ. Как обычно, злоумышленники нацеливаются на самые популярные игры и приложения.
Как защититься от Necro: не скачивать приложения из сторонних источников. Даже приложения на Google Play и других официальных платформах желательно устанавливать с осторожностью. Следует внимательно читать отзывы и пользоваться антивирусными приложениями. Наконец, крайне не рекомендуется пользоваться модифицированными версиями приложений.