我們一直建試從官方渠道下載內容到裝置上,而非官方渠道上的修改版本,更加是危險的組合,可惜依然有人無視風險,結果Necro木馬程式透過這種方法,攻擊全球1100萬名Android用戶。
甚麼是Necro
Necro首次出現在2019年,研究人員在CamScanner上發現木馬程式,當時在Google Play上累計下載1億次,現在「Necromancers」為舊木馬程式注入新血,新版本在Google Play和非官方網站的不同修改版應用程式內,而且功能更加全面,似乎應用程式的開發人員使用了未經驗證的廣告整合工具,令Necro可以透過那些工具滲透程式碼,新版本是具有妨礙偵測能力的載入工具,以隱寫法隱藏惡意編碼,看起來像下載無害的圖像。
而已下載的惡意模組可以讀取和執行任何DEX檔案,安裝下載的應用程式透過受害者裝置進行隧道傳輸,甚至是進行付費訂閱,此外還可以在隱形視窗內顯示廣告並與它互動,當然凙有打開連結及執行任何JavaScript腳本。
Necro的隱身處
惡意程式潛伏在修改版本的Spotify、照片編輯程式Wuta Camera、瀏覽器Max,以及修改版WhatsApp及知名遊戲(包括《Minecraft》)。
修改版Spotify
在調查的最開始時,研究人員被不尋常的Spotify Plus修改應用程式所吸引,用戶被邀請從非官方來源下載新版本,而且是免費及解鎖訂閱提供無限聆聽,並不分線上和線下,內容相當吸引,但實際上是惡意程式,既沒有安全驗證和官方認證保證,應用程式將會造成嚴重破壞,一旦啟動應用程式,木馬程式便會發送受感染裝置的資料到攻擊者的C&C伺服器,並且取得連結下載PNG檔案,而惡意內容則透過隱寫法隱藏在圖像之內。
Google Play上的應用程式
被Necro感染的Wuta Camera存放在Google Play上,該應用程式累計被下載1000萬次,惡意程式滲透在6.3.2.148版本內,6.3.7.138版本以後則是正常版本,所以較舊版本的用戶應該盡快更新。而瀏覽器Max的用戶則少得多,只有100萬用戶,Necro滲透應用程式的1.2.0版本,雖然應用程式已經被Google Play下架,但在第三方資源仍能下載,但風險自然較高。
WhatsApp、《Minecraft》和其他知名應用程式
通訊程式的修改版的話,無論是在Google Play或是第三方網站,時刻都應該抱懷疑態度,通常內裡都是木馬程式,而在非官方渠道找到的修改版WhatsApp,內裡正是Necro下載工具,遊戲方面則有《Minecraft》、《Stumble Guys》、《Car Parking Multiplayer和Melon Sandbox等等,專門針對最受歡迎的應用程式和遊戲。
防範Necro
首先,我們強烈反對從非官方資源下載應用程式,裝置被感染的機會極高,其次是Google Play上的應用程和其他官方平台,也應該健康地持懷疑態度。
- 確保裝置受到保護
- 下載前查看商店應用程式的網頁,留意低分的評論,通常能找到潛在陷阱,不過要注意評論造假的問題。
- 不要使用修改版本應用程式,通常充斥著不同的木馬程式。
資料來源:Kaspersky Blog