Krajem avgusta 2024. godine, sajber stručnjaci kompanije Kaspersky otkrili su novu verziju Necro trojanca, koji se prikriva unutar popularnih aplikacija na platformi Google Play i nezvaničnim izmenjenim verzijama aplikacija kao što su Spotify, WhatsApp i Minecraft. Ovaj trojanac, posebno dizajniran za Android uređaje, predstavlja ozbiljnu pretnju za bezbednost mobilnih korisnika jer omogućava napadačima da preuzmu potpunu kontrolu nad kompromitovanim uređajem.
Kako Necro trojanac funkcioniše i zašto je opasan?
Necro je Android program za preuzimanje koji omogućava preuzimanje dodatnih malver modula na zaražene uređaje, čime se omogućavaju brojne štetne radnje. Prema analizama Kaspersky tima, Necro može:
- Prikazivati nevidljive oglase i klikati na njih, generišući prihod napadačima,
- Preuzimati i pokretati dodatne izvršne fajlove, uključujući i one sa drugih malicioznih izvora,
- Automatski instalirati aplikacije trećih strana,
- Otvarati proizvoljne linkove unutar nevidljivih prozora WebView-a, što omogućava izvršavanje skrivenih JavaScript komandi.
Kao deo svojih funkcija, Necro trojanac može pretplatiti korisnike na neželjene plaćene usluge, što direktno vodi ka finansijskim gubicima. Pored toga, zlonamerni moduli omogućavaju napadačima da koriste uređaje žrtava kao deo proksi botneta, čime dodatno povećavaju rizik.
Necro trojanac u nezvaničnim aplikacijama: Lažni Spotify, WhatsApp i Minecraft
Prva otkrivena verzija Necro trojanca pronađena je u modifikovanoj aplikaciji poznatoj kao Spotify Plus, koja se nudi kao “besplatna” alternativa zvaničnoj aplikaciji i korisnicima nudi dodatne funkcije. Kreatori aplikacije su tvrdili da je bezbedna, dok je u stvarnosti sadržala malver koji preuzima dodatne module. Slično je otkriveno i u nezvaničnoj verziji WhatsApp-a, kao i popularnim igrama Minecraft, Stumble Guys i Car Parking Multiplayer. Napadači su koristili nezvanične oglasne module kako bi se Necro trojanac infiltrirao u aplikacije, s obzirom na to da na ovim platformama nema stroge kontrole i moderacije.
Širenje Necro trojanca na Google Play platformu
Dok je Necro trojanac prvobitno bio prisutan na nezvaničnim platformama, stručnjaci su zabeležili njegov prodor i na Google Play prodavnicu, što ovu pretnju čini još ozbiljnijom. Prema Google Play statistici, aplikacije Wuta Camera i Max pretraživač, koje su sadržale malver, preuzete su više od 11 miliona puta. Nakon što je kompanija Kaspersky prijavila Google-u ovu pretnju, zlonamerni kod je uklonjen iz aplikacije Wuta Camera, dok je Max pretraživač u potpunosti uklonjen iz prodavnice.
Nažalost, korisnici i dalje rizikuju da naiđu na Necro trojanac kroz nezvanične platforme, gde aplikacije često nemaju kontrolu sadržaja. Ovo je pokazatelj da sajber kriminalci konstantno traže načine da dođu do korisnika kroz manje regulisane kanale.
Taktike sajber kriminalaca: Društveni inženjering i steganografija
Kako bi ostali neprimećeni, kreatori Necro trojanca primenili su napredne tehnike steganografije, skrivajući zlonamerni softver unutar slika, što je veoma retka i sofisticirana metoda za mobilni malver. Korisnici često preuzimaju nezvanične aplikacije kako bi zaobišli ograničenja ili dobili pristup dodatnim funkcijama, a sajber kriminalci iskorišćavaju ovo ponašanje.
Dmitrij Kalinjin, stručnjak za sajber bezbednost u kompaniji Kaspersky, upozorava: “Korisnici često podležu iskušenju preuzimanja nezvaničnih, modifikovanih aplikacija, što sajber kriminalci koriste da šire malver.”
Globalna distribucija napada: Rusija, Brazil, Vijetnam, Srbija i Bosna i Hercegovina
Prema Kaspersky-evim podacima, najveći broj napada Necro trojancem zabeležen je u Rusiji, Brazilu, Vijetnamu, Ekvadoru i Meksiku. U Srbiji je registrovano devet slučajeva, dok je u Bosni i Hercegovini zabeleženo četrnaest napada. Ova pretnja je globalnog karaktera, što ukazuje na to da je reč o ozbiljnom riziku za korisnike širom sveta.
Kaspersky-ova rešenja za zaštitu korisnika od Necro trojanca
Kaspersky je razvio specijalizovana rešenja za otkrivanje i neutralizaciju Necro trojanca. Ova rešenja identifikuju zlonamerne komponente kao Trojan-Downloader.AndroidOS.Necro.f i Trojan-Downloader.AndroidOS.Necro.h, dok su dodatni moduli prepoznati kao Trojan.AndroidOS.Necro. Detekcija i eliminacija ovakvih pretnji ključne su za očuvanje bezbednosti korisničkih podataka i zaštitu uređaja od daljih kompromitacija.
Kako bi se korisnici zaštitili od ove i drugih pretnji, Kaspersky stručnjaci preporučuju skidanje aplikacija isključivo sa zvaničnih platformi, redovno ažuriranje sistema i aplikacija, kao i korišćenje proverenih bezbednosnih rešenja kao što je Kaspersky Premium.
Zaključak: Opasnost koja zahteva dodatnu pažnju korisnika
Necro trojanac je najnoviji primer sofisticiranog zlonamernog softvera koji koristi popularne aplikacije kao kanal za širenje. Korisnici moraju biti oprezni prilikom preuzimanja aplikacija sa nezvaničnih izvora i redovno ažurirati svoja bezbednosna rešenja kako bi izbegli rizik od kompromitacije.
Za više informacija o Necro trojancu i detaljima o njegovoj strukturi i načinu rada, posetite Securelist.com.