每隔一段时间,我们就会了解到恶意Android应用程序悄悄进入Play Store。然而,最近的发现涉及两个包含恶意木马的Play Store应用程序,该木马已经影响了超过1100万台Android设备。在非官方应用程序中也发现了同样的恶意软件,这意味着这里的受害者数量可能要高得多。
卡巴斯基的研究人员发现了一个新版本的Necro木马,它从两个来源攻击用户:一方面,Necro木马是通过在Google Play商店分发的合法应用程序传播的。另一方面,恶意行为者将木马注入修改过的应用程序中,比如定制版的Spotify和Minecraft,用户通过非官方方式下载这些应用程序——也就是所谓的侧载。
卡巴斯基首先调查了一款名为Spotify Plus的改进版应用,该应用宣称免费提供Spotify高级功能。虽然该应用程序声称已经过“安全验证”,但卡巴斯基的分析发现,这些说法是错误的,该应用程序允许木马感染这些设备。研究人员还在“GBWhatsApp”和“FMWhatsApp”的修改版本中发现了该木马。
此外,卡巴斯基表示,他们在一系列游戏模型中发现了Necro。这包括《我的世界》、《Stumble Guys》、《停车场多人模式》和《甜瓜沙盒》。
卡巴斯基强调,不可能说有多少受害者来自这些非官方来源。我们所能统计的只是受影响应用在Play Store中的下载量。
卡巴斯基在谷歌的Play商店中发现了所有受影响的应用程序,结果发现Necro木马感染了超过1100万台安卓设备。到目前为止,该系列中最大的应用程序是Wuta Camera应用程序,卡巴斯基表示,仅下载次数就超过1000万次。这款应用也并不总是恶意的:研究人员表示,该木马最初出现在该应用的6.3.2.148版本中。该木马已被删除,因此该应用目前可以安全下载。
Max Browser也含有该木马,下载量超过100万次。该应用程序的第一个包含该木马的版本是1.2.0,但自从卡巴斯基报告了该应用程序后,谷歌已经完全将Max浏览器从他们的应用程序商店中撤下。
当安装在您的设备上时,Necro恶意软件可以执行许多功能。正如BleepingComputer所解释的那样,Necro的有效载荷可以激活恶意插件来运行广告软件,从而打开带有不可见窗口的链接;运行各种脚本的程序;激活欺诈性订阅的程序;以及通过你的设备路由恶意流量的工具。
实际上,你的非官方应用下载,或者像Max Browser和Wuta Camera这样的官方下载,会因为你无意中打开广告并在后台运行欺诈性订阅而为攻击者创收。
你应该做的第一件事就是扫描你的Android手机,寻找上面提到的任何Play Store应用。如果你有Wuta Camera,请确保立即更新应用程序,或者从手机中删除它。如果你有最大浏览器,删除它:没有这个应用程序的安全版本。
此外,如果你的智能手机上有这篇文章中提到的任何修改过的应用,请删除它们,并对非官方下载保持警惕。侧边加载当然会打开比Play Store中包含的更多的应用程序,但由于检查和规定较少,你冒着下载恶意内容的风险。
