João Miguel Mesquita
O Necro é um downloader para Android que permite descarregar e executar outros componentes maliciosos em dispositivos infetados com base em comandos emitidos pelos criadores do Trojan. As soluções da Kaspersky registaram ataques em mais de 120 países do mundo e Portugal está entre os 30 mais afetados, ocupando mesmo o 8º lugar nos países da União Europeia.
Capacidades do Trojan Necro
A variante do Necro, descoberta pelos especialistas da Kaspersky, permite descarregar módulos para smartphones infetados que exibem anúncios em janelas invisíveis. Ao aceder a estes anúncios, o trojan pode descarregar ficheiros executáveis, instalar aplicações e abrir ligações arbitrárias em janelas WebView invisíveis com o intuito de executar código escrito em JavaScript. Com base nas suas caraterísticas técnicas, é provável que o cavalo de Troia também seja capaz de submeter os utilizadores a serviços pagos e associá-los a uma subscrição. Além disso, os módulos descarregados permitem que os atacantes redirecionem o tráfego da Internet através do dispositivo da vítima. Isto permite que os cibercriminosos utilizem recursos proibidos ou desejados através do dispositivo da vítima, tornando-o parte de uma botnet proxy.
O Trojan Necro afetou 124 países em todo o mundo. Entre os países mais afetados encontram-se a Rússia, o Brasil, o Vietname, o Equador e o México. Na União Europeia, a Espanha lidera o ranking, seguida da Itália, Alemanha, França e Países Baixos. Portugal ocupa o sétimo lugar na União Europeia e o 27º no mundo.
Aplicações móveis infetadas em plataformas não-oficiais
A primeira descoberta do Necro, realizada pelos especialistas da Kaspersky, foi numa versão modificada do Spotify Plus. Os criadores da aplicação afirmaram que era segura para os dispositivos e que oferecia funcionalidades adicionais que não se encontravam na aplicação oficial de streaming de música. Posteriormente, a Kaspersky encontrou também uma versão modificada do WhatsApp que continha o downloader Necro, seguida de versões infetadas de jogos populares, incluindo o Minecraft, o Stumble Guys e o Car Parking Multiplayer. O Necro foi incorporado nestas aplicações através de um módulo de anúncios não verificado.
Aplicações móveis infetadas no Google Play
A campanha Necro foi também descoberta no Google Play. O downloader malicioso foi encontrado na aplicação Wuta Camera e no Max Browser. De acordo com as estatísticas do Google Play, os downloads combinados destas aplicações excederam os 11 milhões. Nesta plataforma, o Necro foi também distribuído através de um módulo de anúncios não verificado. Após o relatório da Kaspersky Lab à Google, o código malicioso foi removido da Wuta Camera e o Max Browser foi retirado da loja. No entanto, os utilizadores ainda correm o risco de encontrar este trojan em plataformas não oficiais.
“Os utilizadores descarregam frequentemente aplicações não oficiais e modificadas para contornar as restrições das aplicações oficiais ou para aceder a funcionalidades adicionais gratuitas. Os cibercriminosos exploram este comportamento e propagam malware através destas aplicações, uma vez que não existe moderação em plataformas de terceiros. É também de salientar que a versão do Necro incorporada nestas aplicações utilizou técnicas de esteganografia, escondendo a sua carga útil dentro de imagens para não ser detetada – um método muito raro para um malware móvel”, destaca Dmitry Kalinin, especialista em cibersegurança da Kaspersky.
