24 de septiembre de 2024Ravie LakshmananSeguridad móvil / MalwareSe han utilizado versiones alteradas de aplicaciones legítimas de Android asociadas con Spotify, WhatsApp y Minecraft para distribuir una nueva versión de un cargador de malware conocido llamado Necro. Kaspersky dijo que algunas de las aplicaciones maliciosas también se han encontrado en Google Play Store. Se han descargado acumulativamente 11 millones de veces. Incluyen: Wuta Camera – Nice Shot Always (com.benqu.wuta): más de 10 millones de descargas Max Browser-Private & Security (com.max.browser): más de 1 millón de descargas Al momento de escribir este artículo, Max Browser ya no está disponible para descargar desde Play Store. Wuta Camera, por otro lado, se ha actualizado (versión 6.3.7.138) para eliminar el malware. La última versión de la aplicación, 6.3.8.148, se lanzó el 8 de septiembre de 2024. Actualmente no está claro cómo ambas aplicaciones se vieron comprometidas con el malware en primer lugar, aunque se cree que un kit de desarrollo de software (SDK) fraudulento para integrar capacidades publicitarias es el culpable. Necro (que no debe confundirse con una botnet del mismo nombre) fue descubierto por primera vez por la empresa de ciberseguridad rusa en 2019 cuando estaba oculto dentro de una popular aplicación de escaneo de documentos llamada CamScanner. CamScanner luego culpó del problema a un SDK de publicidad proporcionado por un tercero llamado AdHub que, según dijo, contenía un módulo malicioso para recuperar malware de la siguiente etapa de un servidor remoto, actuando esencialmente como un cargador para todo tipo de malware en los dispositivos de las víctimas. La nueva versión del malware no es diferente, aunque incluye técnicas de ofuscación para evadir la detección, particularmente aprovechando la esteganografía para ocultar cargas útiles. «Las cargas útiles descargadas, entre otras cosas, podrían mostrar anuncios en ventanas invisibles e interactuar con ellos, descargar y ejecutar archivos DEX arbitrarios, instalar aplicaciones que haya descargado», dijo el investigador de Kaspersky, Dmitry Kalinin. También puede «abrir enlaces arbitrarios en ventanas WebView invisibles y ejecutar cualquier código JavaScript en ellas, ejecutar un túnel a través del dispositivo de la víctima y, potencialmente, suscribirse a servicios de pago». Uno de los principales vehículos de distribución de Necro son las versiones modificadas de aplicaciones y juegos populares que se alojan en sitios no oficiales y tiendas de aplicaciones. Una vez descargadas, las aplicaciones inicializan un módulo llamado Coral SDK, que, a su vez, envía una solicitud HTTP POST a un servidor remoto. Posteriormente, el servidor responde con un enlace a un supuesto archivo de imagen PNG alojado en adoss.spinsok[.]com, después de lo cual el SDK procede a extraer la carga útil principal (un archivo JAR (Java archive) codificado en Base64). Las funciones maliciosas de Necro se realizan a través de un conjunto de módulos adicionales (también conocidos como complementos) que se descargan del servidor de comando y control (C2), lo que le permite realizar una amplia gama de acciones en el dispositivo Android infectado: NProxy: crea un túnel a través de la isla del dispositivo de la víctima: genera un número pseudoaleatorio que se usa como intervalo de tiempo (en milisegundos) entre las visualizaciones de anuncios intrusivos web: contacta periódicamente a un servidor C2 y ejecuta código arbitrario con permisos elevados al cargar enlaces específicos Cube SDK: un módulo auxiliar que carga otros complementos para manejar anuncios en segundo plano Tap: descarga código JavaScript arbitrario y una interfaz WebView del servidor C2 que son responsables de cargar y ver anuncios de forma encubierta Happy SDK/Jar SDK: un módulo que combina NProxy y módulos web con algunas diferencias menores El descubrimiento de Happy SDK ha planteado la posibilidad de que los actores de amenazas detrás de la campaña también estén experimentando con una versión no modular. «Esto sugiere que Necro es muy adaptable y puede descargar diferentes iteraciones de sí mismo, tal vez para introducir nuevas funciones», dijo Kalinin. Los datos de telemetría recopilados por Kaspersky muestran que bloqueó más de diez mil ataques de Necro en todo el mundo entre el 26 de agosto y el 15 de septiembre de 2024, siendo Rusia, Brasil, Vietnam, Ecuador, México, Taiwán, España, Malasia, Italia y Turquía los que más ataques registraron. «Esta nueva versión es un cargador de varias etapas que utiliza esteganografía para ocultar la carga útil de la segunda etapa, una técnica muy poco común para el malware móvil, así como la ofuscación para evadir la detección», dijo Kalinin. «La arquitectura modular ofrece a los creadores del troyano una amplia gama de opciones para la entrega masiva y dirigida de actualizaciones del cargador o nuevos módulos maliciosos según la aplicación infectada». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.