11 millones de infecciones: el troyano Necro se infiltra en el corazón de Google Play
Cómo Necro engañó al sistema de seguridad y qué tiene que ver la publicidad.
A finales de agosto, los especialistas de Kaspersky Lab detectaron la actividad de un software malicioso llamado Necro, que se infiltró en aplicaciones populares en la plataforma Google Play y en fuentes no oficiales. Necro es un cargador para Android, capaz de descargar y ejecutar varios módulos maliciosos en el dispositivo de la víctima. Las infecciones se detectaron en Brasil, Rusia, Vietnam, Ecuador y México.
El troyano posee amplias funciones. Necro puede descargar módulos en el dispositivo que muestran anuncios en ventanas ocultas y los clican automáticamente, descargan archivos ejecutables e instalan aplicaciones de terceros. Necro puede abrir enlaces arbitrarios en WebView y ejecutar código JavaScript, así como, posiblemente, suscribir a los usuarios a servicios de pago. Además, los atacantes pueden redirigir el tráfico de Internet a través de los dispositivos infectados, utilizándolos como proxies para eludir restricciones y crear botnets.
Una de las primeras aplicaciones infectadas con Necro fue una versión modificada de Spotify Plus, que se distribuía en plataformas no oficiales. La descripción afirmaba que la aplicación era segura y ofrecía funciones ampliadas en comparación con la versión oficial. Además, los especialistas descubrieron versiones infectadas de WhatsApp y de juegos populares como Minecraft, Stumble Guys y Car Parking Multiplayer. Necro se infiltró en estas aplicaciones a través de un módulo publicitario malicioso.
El peligro de Necro no se limitó solo a plataformas de terceros. También se encontró software malicioso en las aplicaciones Wuta Camera y Max Browser, disponibles en Google Play. Según la plataforma, el número total de descargas de estas aplicaciones superó los 11 millones. Necro se introdujo en los programas a través de un módulo publicitario no verificado.
Después de notificar a Google, el código malicioso fue eliminado de Wuta Camera, mientras que Max Browser fue completamente eliminado de la tienda. Sin embargo, el riesgo de infección persiste para los usuarios que descargan aplicaciones de fuentes no oficiales.
Cabe destacar que la versión de Necro utilizaba esteganografía —un método para ocultar datos en imágenes— para enmascarar la actividad maliciosa. Este método es raro en las amenazas móviles.
Para proteger sus dispositivos, se recomienda a los usuarios descargar aplicaciones solo de fuentes oficiales, actualizar regularmente el sistema operativo y utilizar soluciones antivirus confiables.
¿Estás cansado de que Internet sepa todo sobre ti?