Necro Trojan prijetnja u Android digitalnom svijetu

AUTOR ·

Necro Trojan zlonamjerni softver je ažuriran sa novim funkcijama i nalazi se u popularnim Android aplikacijama u Google Play prodavnici, kao i u nezvaničnim modovima aplikacija, pokazuje istraživanje sigurnosne kompanije Kaspersky. Ovaj zlonamjerni softver je prvobitno otkriven 2019. godine u CamScanner, aplikaciji za prepoznavanje teksta koja je imala preko 100 miliona preuzimanja na Google Play prodavnici, a sada je taj broj oko 11 miliona u zlonamjernim napadima na SDK lanac snabdijevanja.

Necro

Necro Trojan prijetnja u Android digitalnom svijetu; Source: Bing Image Creator

NECRO TROJAN

Kao što je već navedeno, poreklo Necro zlonamjernog softvera se može pratiti do 2019. godine, kada je prvi put identifikovan u CamScanner, popularnoj aplikaciji za prepoznavanje teksta sa više od 100 miliona preuzimanja na Google Play prodavnici. Od tada, kreatori ovog trojanca su poboljšali i ažurirali njegove mogućnosti, integrišući ga u različite aplikacije dostupne na Google Play prodavnici, kao i na nezvaničnim internet stranicama.

Infiltracija Necro zlonamjernog softvera se često olakšava pomoću neprovjerenog alata za integraciju oglasa, koji omogućava da se zlonamjerni kôd neprimjetno ugradi u procese razvoja aplikacija. Važno je napomenuti da se ovaj software development kitSDK alat pominje pod različitim imenima, kao što su Jar SDK i Happy SDK.

Analiza sugeriše da je Necro zlonamjerni softver veoma prilagodljiv, sposoban da preuzme različite verzije sebe kako bi uveo nove funkcije ili mogućnosti. Jedan takav dodatak koji su otkrili i sigurnosni istraživači tokom analize i nazvan je “Cube SDK”. Jedina funkcija ovog pomoćnog modula je učitavanje drugih dodataka u pozadini za potrebe rukovanja oglasima. Jednostavnost Cube SDK modula naglašava njegovu potencijalnu opasnost, jer služi kao opcija za složenije i štetnije komponente Necro zlonamjernog softvera. Ovakva modularna arhitektura omogućava ovom zlonamjernom softveru da održava nizak profil dok obavlja svoje zlobne aktivnosti.

 

Distribucija

Mehanizam infekcije u legitimnim aplikacijama uključivao je zlonamjerni komplet za razvoj reklamnog softvera pod nazivom “Coral SDK” i adsrun alat za dodavanje reklama u aplikacije. Ovaj alat omogućava programerima da unovče svoje aplikacije bez potrebe da sami pišu kôd koji se odnosi na oglašavanje.

Ovaj alat za integraciju oglasa omogućava da se zlonamjerni kôd neprimjetno ugradi u procese razvoja aplikacija, često zaobilazeći Google bezbjednosne provjere. Svo to je dovelo do toga da su čak i neke odobrene aplikacije na Google Play prodavnici koristile ovaj SDK, dodatno povećavajući potencijalni broj zaraženih uređaja.To je omogućilo da Necro zlonamjerni softver izvrši kompromitovanje oko 11 miliona uređaja širom svijeta.

Aplikacija Wuta Camera, sa više od 10 miliona preuzimanja sa Google Play prodavnici , bila je jedan od primarnih nosilaca ovog trojanca. Prema analizi podataka od strane sigurnosnih istraživača, Necro zlonamjerni softver je ušao u verziju 6.3.2.148 Wuta Camera, dok su čiste verzije počele da se pojavljuju od 6.3.7.138. Stoga, ako korisnik na uređaju ima verziju nižu od 6.3.7.138, ključno je da odmah ažuriran na najnoviju kako bi se izbjeglo potencijalno kompromitovanje.

Aplikacija Max Browser, sa manjom publikom od samo milion korisnika, bila je još jedan nesretni domaćin za Necro zlonamjerni softver. Zaražene verzije pregledača pronađene su u verziji 1.2.0 na Google Play prodavnici. Iako je aplikacija od tada uklonjena sa Google Play prodavnice nakon što su sigurnosni istraživači upozorili kompaniju Google, ova aplikacija ostaje dostupna na resursima trećih strana. Zbog toga je neophodno je biti oprezan kada se preuzimaju aplikacije iz takvih izvora, jer trojanizovane verzije mogu i dalje biti prisutne.

Pored toga, postoji distribucija nezvaničnim kanalima modovnaih aplikacija koje obećavaju više mogućnosti od originalnih kao što su: Spotify,WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer i Melon Sandbox. Ovaj izbor aplikacija uopšte nije slučajan, jer zlonamjerni akteri uvjek ciljaju najpopularnije aplikacije i video igre.

 

Funkcionisanje

Jednom kada se instalira aplikacija sa Necro Trojan zlonamjernim softverom, on može da dodatno instalira nekoliko korisnih tereta na inficirane uređaje i aktivira razne zlonamjerne dodatke kao što su:

  • Adware koji učitava veze kroz nevidljive prozore WebView (dodatak Island i Cube SDK),
  • Moduli koji preuzimaju i izvršavaju proizvoljne JavaScript i DEX datoteke (Happy SDK i Jar SDK),
  • Alati posebno dizajnirani da olakšaju prevaru u vezi sa pretplatom (Web dodatak, Happy SDK, Tap dodatak),
  • Mehanizmi koji koriste zaražene uređaje kao proxy servere za usmjeravanje zlonamjernog saobraćaja (NProxy dodatak).

Treba napomenuti da se ove aktivnosti implementiraju u dodatnim modulima preuzetim sa servera za komandu i kontrolu (C2) nakon infekcije. Autori Necro zlonamjernog softvera često nazivaju ove dodatne module “dodacima” u okviru svog kôda. U kôdu se takođe pominje i prekidač koji se zove ps configuration field, koji sadrži parametre za učitavač druge faze i može se koristiti za blokiranje učitavanja određenih dodataka i umjesto toga za izvršavanje alternativnih ako su učitani.

Sve ovo dozvoljava Necro Trojan zlonamjernom softveru da obavlja različite radnje kao što je krađa osjetljivih podataka, a to mogu biti akreditivi za prijavu ili finansijske informacije, prikazivanje neželjenih reklama, pa čak i izvršavanje daljinskih komandi na zaraženom uređaju. Pored toga, Necro zlonamjerni softver takođe može da presreće mrežni saobraćaj, omogućavajući zlonamjernim akterima da prisluškuju komunikaciju između uređaja i servera. To znači da svi podaci koji se prenose preko nezaštićene veze mogu potencijalno biti ugroženi.

 

ZAKLJUČAK

Necro Trojan zlonamjerni softver predstavlja značajnu prijetnju milionima uređaja širom sveta zbog svoje prilagodljivosti i svestranosti. Njegova kontinuirana evolucija i prilagođavanje naglašavaju važnost snažnih mjera sajber bezbjednosti. Korisnicima se savjetuje da preuzimaju aplikacije samo iz provjerenih izvora, da ažuriraju svoje uređaje najnovijim bezbjednosnim ispravkama i redovno skeniraju svoje sisteme u potrazi za potencijalnim prijetnjama.

Takođe je ključno edukovati programere aplikacija o rizicima povezanim sa korištenjem neprovjerenih alata za integraciju oglasa kao što je adsrun. Treba ih ohrabriti da daju prioritet bezbjednosnim mjerama u svojim razvojnim procesima kako bi zaštitili sebe i svoje korisnike od potencijalnih prijetnji kao što je Necro zlonamjerni softver.

Samo oprez i informisanost može omogućiti zajednički rad na bezbjednijem digitalnom svetu u kome privatnost i podaci korisnika mogu biti sačuvani na pravi način.

 

ZAŠTITA

Kako bi zaštitili svoje Android uređaje, korisnici mogu pratiti sljedeće preporuke:

  1. Izbjegavati nezvanične izvore za preuzimanje aplikacija, jer modovane aplikacije iz nezvaničnih izvora često dolaze u paketu sa trojancima kao što je Necro zlonamjerni softver. Koristiti zvanične prodavnice aplikacija kao što je Google Play prodavnica za preuzimanje aplikacija i igara, koja primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
  2. Čak i popularne aplikacije na zvaničnim platformama mogu predstavljati rizik. Tretirati sve aplikacije, bilo iz Google Play prodavnice ili drugih zvaničnih platformi, sa skepticizmom. Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
  3. Instalirajte pouzdan bezbjednosni softver na uređaj za zaštitu od trojanaca i drugog zlonamjernog softvera. Redovno ažurirajte ovaj softver kako bi se osiguralo da je opremljen za otkrivanje i zaustavljanje najnovijih prijetnji,
  4. Treba imati na umu da neke aplikacije koriste WebView, proširenje u operativnom sistemu za prikazivanje internet stranica unutar aplikacija i da Necro zlonamjerni softver može da zaobiđe bezbjednosna ograničenja na WebView. Izbjegavati klikove na sumnjive veze ili preuzimanja unutar aplikacija, posebno ako su iz nepouzdanih izvora,
  5. Ažurirati sve aplikacije i Android operativni sistem na uređajima, jer programeri često objavljuju ispravke kako bi ispravili bezbjednosne propuste koje bi mogli da iskoriste trojanci poput Necro zlonamjernog softvera,
  6. Omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) na svim nalozima, posebno onima koji su povezani sa finansijskim informacijama ili osjetljivim podacima. Ovo dodaje još jedan sloj zaštite od neovlaštenog pristupa,
  7. Redovno praviti rezervne kopije podataka, jer u slučaju da korisnik postane žrtva Necro zlonamjernog softvera ili bilo kog drugog zlonamjernog softvera, nedavna rezervna kopija važnih datoteka može pomoći da se smanji šteta i olakša oporavak. Mogu se koristiti usluge skladištenja u oblaku kao što su Google Drive, Dropbox i OneDrive za automatske rezervne kopije,
  8. Potrebno je biti informisan o najnovijim prijetnjama i najboljim bezbjednosnim praksama. Znajući šta su pokazatelji zlonamjerne aktivnosti može pomoći da se izbjegne infekcija trojanaca kao što je Necro zlonamjerni softver,
  9. Korisnici koji nađu bilo kakvu sumnjivu aktivnost ili aplikaciju trebalo bi da to prijave nadležnim organima ili prodavnicama aplikacija. Ovi izvještaji mogu pomoći u zaštiti drugih korisnika od potencijalnih prijetnji,
  10. Na kraju, treba koristiti zdrav razum prilikom preuzimanja i korištenja aplikacija. Ako nešto izgleda previše dobro da bi bilo istinito, vjerovatno jeste. Biti oprezan sa besplatnim modovima, posebno za popularne igre i aplikacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.