El malware Necro, una amenaza persistente en el ecosistema Android, ha alcanzado un nuevo nivel de peligrosidad al infectar 11 millones de dispositivos a través de la tienda oficial Google Play. Esta nueva versión del troyano se distribuyó mediante ataques a la cadena de suministro de kits de desarrollo de software (SDK) maliciosos, afectando tanto a aplicaciones legítimas como a versiones modificadas de software popular.
El malware Necro fue instalado en millones de dispositivos Android mediante la infiltración de SDKs de publicidad maliciosa en aplicaciones legítimas y mods de juegos populares, incluidos Spotify, WhatsApp, y Minecraft. Los kits de desarrollo utilizados, como Coral SDK, emplearon diversas técnicas para ocultar sus actividades maliciosas, descargando cargas útiles adicionales disfrazadas como imágenes PNG inofensivas.
Necro se detectó en dos aplicaciones disponibles en Google Play: Wuta Camera, una herramienta de edición de fotos con más de 10 millones de descargas, y Max Browser, un navegador web que acumulaba un millón de descargas antes de ser retirado de la tienda. La amenaza fue identificada por los analistas de Kaspersky, quienes notificaron a Google para su eliminación.
Así actua el malware Necro en Android
Necro instala múltiples cargas útiles en los dispositivos infectados y activa diversos plugins maliciosos que realizan una serie de actividades perjudiciales:
- Adware: Carga enlaces a través de ventanas invisibles de WebView, generando ingresos fraudulentos para los ciberdelincuentes.
- Descarga y ejecución de código malicioso: Permite la ejecución de archivos JavaScript y DEX, ampliando la capacidad del malware para ejecutar órdenes arbitrarias en el dispositivo infectado.
- Fraude de suscripción: Utiliza módulos especializados para suscribir a los usuarios a servicios de pago sin su consentimiento.
- Uso de dispositivos como proxies: Los dispositivos infectados se utilizan para redirigir tráfico malicioso, ocultando la actividad de los atacantes.
Infecciones a través de aplicaciones que simulan ser legítimas
La primera de las aplicaciones infectadas, Wuta Camera, se vio comprometida con la aparición de Necro a partir de la versión 6.3.2.148, y permaneció afectada hasta la versión 6.3.6.148. A pesar de que la amenaza fue eliminada en la versión 6.3.7.138, las cargas maliciosas instaladas en versiones anteriores podrían seguir activas en los dispositivos de los usuarios.
La segunda aplicación afectada, Max Browser, aún presenta la amenaza en su última versión, la 1.2.0, lo que ha llevado a recomendar su desinstalación inmediata y la migración a navegadores alternativos. La falta de una versión limpia de esta app agrava la situación, dejando a los usuarios sin una opción de actualización segura.
Distribución fuera de Google Play: mods maliciosos
Además de Google Play, Necro se propagó a través de versiones modificadas de aplicaciones populares distribuidas en sitios web no oficiales. Ejemplos notables incluyen mods de WhatsApp como GBWhatsApp y FMWhatsApp, que prometen mayores controles de privacidad y funciones extendidas, así como Spotify Plus, que ofrece acceso gratuito a servicios premium sin anuncios.
Los mods de juegos también fueron blanco del malware, infectando versiones de Minecraft, Stumble Guys, Car Parking Multiplayer, y Melon Sandbox. En todos estos casos, el comportamiento malicioso era el mismo: mostrar anuncios en segundo plano, instalar aplicaciones sin el consentimiento del usuario y utilizar WebViews invisibles para interactuar con servicios pagos.
Google Play Protect y las medidas de seguridad
Google ha respondido eliminando las versiones maliciosas de las aplicaciones identificadas y ha resaltado la protección que ofrece Google Play Protect, un sistema de seguridad activo por defecto en los dispositivos Android con servicios de Google Play. Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sepa presentan comportamientos maliciosos, incluso si estas provienen de fuentes externas a Google Play.
Es esencial mantener las aplicaciones actualizadas a sus versiones más recientes y confiar únicamente en tiendas oficiales para las descargas.