Recentemente, sono state scoperte versioni alterate di app legittime per Android, tra cui Spotify, WhatsApp e Minecraft, utilizzate per distribuire una nuova variante di un noto malware chiamato Necro. Secondo Kaspersky, alcune di queste applicazioni dannose sono state trovate anche nel Google Play Store, totalizzando 11 milioni di download. Tra queste figurano Wuta Camera - Nice Shot Always (com.benqu.wuta), con oltre 10 milioni di download, e Max Browser-Private & Security (com.max.browser), con oltre 1 milione di download. Al momento, Max Browser non è più disponibile sul Play Store, mentre Wuta Camera è stata aggiornata per rimuovere il malware.

Non è ancora chiaro come queste app siano state infettate, ma si sospetta che un kit di sviluppo software (SDK) per l'integrazione della pubblicità possa essere il colpevole. Necro, scoperto per la prima volta dalla società di sicurezza informatica russa nel 2019, era nascosto in un'app popolare per la scansione di documenti chiamata CamScanner. CamScanner ha attribuito il problema a un SDK pubblicitario fornito da una terza parte, AdHub, che conteneva un modulo dannoso per recuperare malware da un server remoto.

La nuova versione del malware utilizza tecniche di offuscamento per eludere la rilevazione, sfruttando in particolare la steganografia per nascondere i payload. I payload scaricati possono, tra le altre cose, visualizzare annunci in finestre invisibili, scaricare ed eseguire file DEX arbitrari, installare applicazioni e aprire link arbitrari in finestre WebView invisibili. Possono anche eseguire codice JavaScript, creare un tunnel attraverso il dispositivo della vittima e potenzialmente abbonarsi a servizi a pagamento.

Uno dei principali veicoli di distribuzione di Necro sono le versioni modificate di app e giochi popolari ospitate su siti non ufficiali e negozi di app. Una volta scaricate, queste app iniziano un modulo chiamato Coral SDK, che invia una richiesta HTTP POST a un server remoto. Il server risponde con un link a un file PNG, dal quale viene estratto il payload principale: un file Java (JAR) codificato in Base64.

Le funzioni dannose di Necro sono realizzate attraverso moduli aggiuntivi (plugin) scaricati dal server di comando e controllo (C2), permettendo una vasta gamma di azioni sul dispositivo Android infetto. Questi moduli includono NProxy, island, web, Cube SDK, Tap, Happy SDK e Jar SDK, ognuno con specifiche funzioni per gestire gli annunci e altre attività malevole.

La scoperta del modulo Happy SDK suggerisce che gli attori dietro questa campagna stanno sperimentando anche una versione non modulare del malware. I dati di telemetria raccolti da Kaspersky mostrano che sono stati bloccati oltre diecimila attacchi Necro in tutto il mondo tra il 26 agosto e il 15 settembre 2024, con Russia, Brasile, Vietnam, Ecuador, Messico, Taiwan, Spagna, Malesia, Italia e Turchia tra i paesi più colpiti. La nuova versione del malware è un loader multi-stage che utilizza la steganografia per nascondere il payload di seconda fase e l'offuscamento per evitare la rilevazione.