Android malware

Android向けマルウェアローダー「Necro」の新バージョンが、悪意のあるSDKサプライチェーン攻撃により、Google Playを通じて1,100万台のデバイスにインストールされました。

この新バージョンのNecroトロイの木馬は、正規のアプリ、AndroidゲームのMod、およびSpotify、WhatsApp、Minecraftなどの人気ソフトウェアの修正バージョンで使用される悪意のある広告ソフトウェア開発キット(SDK)を介してインストールされました。

Necroは感染したデバイスに複数のペイロードをインストールし、以下のような様々な悪意のあるプラグインを起動します:

  • 目に見えないWebViewウィンドウを通してリンクを読み込むアドウェア(Islandプラグイン、Cube SDK)
  • 任意のJavaScriptおよびDEXファイルをダウンロードして実行するモジュール(Happy SDK、Jar SDK)
  • サブスクリプション詐欺を促進するために特別に設計されたツール(Webプラグイン、Happy SDK、Tapプラグイン)
  • 感染したデバイスをプロキシとして使用し、悪意のあるトラフィックをルーティングするメカニズム(NProxyプラグイン)

Google Play上のNecroトロイの木馬

カスペルスキーは、Google Play上の2つのアプリでNecroローダーの存在を発見しました。

1つ目は「Benqu」による「Wuta Camera」で、Google Play上で10,000,000ダウンロードを超える写真編集・美化ツールです。

The Wuta Camera app on Google Play
Google Play上のWuta Cameraアプリ
ソースは こちら:

脅威アナリストの報告によると、Necroはバージョン6.3.2.148のリリースと同時にアプリに出現し、カスペルスキーがGoogleに通知したバージョン6.3.6.148まで埋め込まれたままだった。

このトロイの木馬はバージョン6.3.7.138で削除されたものの、古いバージョンを経由してインストールされた可能性のあるペイロードはまだAndroidデバイス上に潜んでいる可能性がある。

Necroを搭載した2番目の正規アプリは「WA message recover-wamr」によるMax Browserで、カスペルスキーの報告を受けて削除されるまで、Google Playで100万ダウンロードを記録していた。

カスペルスキーは、Max Browserの最新バージョンである1.2.0にはまだNecroが残っているため、アップグレード可能なクリーンバージョンはなく、このウェブブラウザのユーザーは直ちにアンインストールして別のブラウザに切り替えることを推奨するとしている。

カスペルスキーによると、この2つのアプリは「Coral SDK」と名付けられた広告SDKによって感染しており、このSDKは悪意のある活動を隠すために難読化を採用し、また第2段階のペイロードであるshellPluginを無害なPNG画像に偽装してダウンロードするために画像ステガノグラフィーを使用していたという。

Necro's infection diagram
Necroの感染図
ソースはこちら:カスペルスキー

Googleは、報告されたアプリを認識しており、調査中であると述べた。

公式ソース以外

Playストア以外では、Necroトロイの木馬は主に非公式ウェブサイトを通じて配布された人気アプリの修正版(MOD)を通じて拡散しています。

カスペルスキーが発見した顕著な例としては、WhatsAppの改造版「GBWhatsApp」と「FMWhatsApp」があり、より優れたプライバシー制御とファイル共有制限の拡張を約束している。また、広告のないプレミアムサービスへの無料アクセスを約束するSpotifyの改造「Spotify Plus」もある。

Website spreading a malicious Spotify mod
悪質なSpotifyの改造を広めるウェブサイト
出典:Kaspersky:カスペルスキー

このレポートでは、MinecraftのModや、Stumble Guys、Car Parking Multiplayer、Melon Sandboxといった他の人気ゲームのModについても言及しており、これらはNecroローダーに感染していた。

どのケースでも悪意のある行動は同じで、攻撃者に不正な収益をもたらすためにバックグラウンドで広告を表示したり、ユーザーの同意なしにアプリやAPKをインストールしたり、目に見えないWebViewを使用して有料サービスとやり取りしたりする。

非公式なAndroidソフトウェアのウェブサイトはダウンロード数を確実に報告しないため、この最新のNecro Trojanの波による感染総数は不明だが、Google Playからの感染数は少なくとも1,100万件に上る。