[07/10/2024] A finales de agosto del 2024, los expertos de Kaspersky identificaron una nueva versión del troyano Necro que se había infiltrado en varias aplicaciones populares en Google Play y modificado aplicaciones en plataformas no oficiales, como Spotify, WhatsApp y Minecraft. Según lo señalado por la empresa en el comunicado de prensa, Necro es un descargador de Android que descarga y ejecuta otros componentes maliciosos en dispositivos infectados basándose en comandos emitidos por los creadores del troyano. Las soluciones de Kaspersky registraron ataques Necro dirigidos a usuarios en Rusia, Brasil, Vietnam, Ecuador y México como parte de esta campaña maliciosa.
"La variante de Necro descubierta por los expertos de Kaspersky pueden descargar módulos en teléfonos inteligentes infectados que muestran anuncios en ventanas invisibles y hacen clic en ellos, descargar archivos ejecutables, instalar aplicaciones de terceros, y abrir archivos arbitrarios enlaces en ventanas WebView invisibles para ejecutar código JavaScript. Sobre la base de sus características técnicas, es probable que el troyano también sea capaz de suscribir a los usuarios a servicios de pago. Además, los módulos descargados permiten a los atacantes redirigir el tráfico de Internet a través del dispositivo de la víctima. Esto permite los ciberdelincuentes visiten recursos prohibidos o deseados utilizando los datos de la víctima. dispositivo, potencialmente utilizándolo como parte de una botnet proxy”, sostuvo Dmitry Kalinin, experto en ciberseguridad de la Kaspersky.
El experto anotó que el primer descubrimiento de Necro por parte de los expertos de la compañía fue en una versión modificada de Spotify Plus. "Los creadores de la aplicación afirmaron que era segura para dispositivos, y ofrecía funciones adicionales que no se encuentran en la aplicación oficial de transmisión de música. Posteriormente, los expertos también encontraron una versión modificada de WhatsApp que contenía el Necro downloader, seguido de versiones infectadas de juegos populares, incluyendo Minecraft, Stumble Guys y Car Parking Multijugador. Necro estaba incrustado en estas aplicaciones a través de un módulo de anuncios no verificado”.
Kalinin añadió que la campaña de Necro se extendió más allá de las plataformas de terceros y también fue descubierta en Google Play. "El descargador malicioso se encontró en la aplicación Wuta Camera y Max Explorador. Según las estadísticas de Google Play, las descargas combinadas de estas aplicaciones superaron los 11 millones. En esta plataforma, Necro también se distribuyó a través de un Módulo de anuncios no verificado. Tras el informe de Kaspersky Lab a Google, se eliminó el código de la cámara Wuta y se eliminó Max Browser de la tienda. Sin embargo, los usuarios aún corren el riesgo de encontrar Necro en plataformas no oficiales”.
Finalizó indicando que las soluciones de seguridad de Kaspersky protegen contra Necro y detectan el descargador como Trojan-Downloader.AndroidOS.Necro.f y Trojan-Downloader.AndroidOS.Necro.h, con los componentes maliciosos identificados como Trojan.AndroidOS.Necro.
Franca Cavassa, CTOPerú