Güvenlik uzmanları, Ağustos 2024’ün sonlarında Google Play’deki birçok popüler uygulamaya sızan ve Spotify, WhatsApp ve Minecraft dahil olmak üzere resmi olmayan platformlardaki uygulamaları değiştiren Necro Truva atının yeni bir sürümünü tespit etti.
Necro varyantı, virüs bulaşmış akıllı telefonlara görünmez pencerelerde reklam gösteren modüller indirebiliyor, bunlara tıklayabiliyor, yürütülebilir dosyalar indirebiliyor, üçüncü parti uygulama yükleyebiliyor ve JavaScript kodunu çalıştırmak için görünmez WebView pencerelerinde rastgele bağlantılar açabiliyor.
Teknik özelliklerine dayanarak Truva atı muhtemelen kullanıcıları ücretli hizmetlere de abone yapabiliyor. Ek olarak, indirilen modüller saldırganların internet trafiğini kurbanın cihazı üzerinden yönlendirmesine olanak tanıyor.
Bu da siber suçluların bulaştıkları cihazları kullanarak yasaklanmış ya da diğer kaynakları ziyaret etmelerini ve potansiyel olarak bir proxy botnetinin parçası olarak kullanmasını sağlıyor.
Resmi Olmayan Platformlardaki Virüslü Uygulamalar
Trojanın şirket uzmanları tarafından ilk keşfi Spotify Plus’ın değiştirilmiş bir sürümü üzerinde oldu. Uygulamanın yaratıcıları bunun cihazlar için güvenli olduğunu ve resmi müzik akışı uygulamasında bulunmayan ek özellikler sunduğunu iddia etti.
Daha sonra uzmanlar, Necro indiricisini içeren değiştirilmiş bir WhatsApp sürümü ve ardından Minecraft, Stumble Guys ve Car Parking Multiplayer gibi popüler oyunların virüslü sürümlerini de keşfetti. Necro bu uygulamalara doğrulanmamış bir reklam modülü aracılığıyla yerleştirilmişti.
Google Play’deki Virüslü Uygulamalar
Necro saldırısı üçüncü parti platformların ötesine geçerek Google Play üzerinde de keşfedildi. Kötü niyetli indirici, Wuta Camera uygulamasında ve Max Browser’da yer alıyordu. Google Play istatistiklerine göre bu uygulamaların toplam indirilme sayısı 11 milyonun üzerinde. Trojan ayrıca bu platformda doğrulanmamış bir reklam modülü aracılığıyla da dağıtıldı.
Zararlı kod Wuta Camera’dan ve Max Browser mağazadan kaldırıldı. Ancak kullanıcılar hala resmi olmayan platformlarda bu Trojan ile karşılaşma riski taşıyor.