Malware Android Necro Menginfeksi 11 Juta Perangkat, Hapus Aplikasi Ini di HP Anda Sekarang!
Selasa, 24 September 2024 - 21:34 WIB
loading...
Malware Android Necro diam-diam menginfeksi aplikasi yang diunduh di Google Play. Foto: ist
A
A
A
JAKARTA - Versi baru malware Necro untuk Android disebut telah diinstal pada 11 juta perangkat melalui Google Play.
Versi baru dari Trojan Necro ini diinstal melalui kit pengembangan perangkat lunak periklanan (SDK) berbahaya yang digunakan oleh aplikasi yang sah, mod game Android, dan versi modifikasi dari perangkat lunak populer, seperti Spotify, WhatsApp, dan Minecraft.
Setelah terinstal, Necro memasang beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya. Berikut rinciannya:
- Adware yang memuat tautan melalui jendela WebView yang tidak terlihat (plugin Island, Cube SDK).
- Modul yang mengunduh dan menjalankan file JavaScript dan DEX secara acak (Happy SDK, Jar SDK).
- Alat yang dirancang khusus untuk memfasilitasi penipuan langganan (plugin Web, Happy SDK, plugin Tap).
- Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk merutekan lalu lintas berbahaya (plugin NProxy)
1. Wuta Camera: Aplikasi pengeditan dan mempercantik foto dengan lebih dari 10.000.000 unduhan di Google Play. Necro muncul di aplikasi ini dengan rilis versi 6.3.2.148, dan tetap tertanam hingga versi 6.3.6.148.
2. Max Browser: Browser web yang memiliki 1 juta unduhan di Google Play. Versi terbaru Max Browser, 1.2.0, masih membawa Necro.
Kaspersky mengatakan bahwa kedua aplikasi tersebut terinfeksi oleh SDK periklanan bernama 'Coral SDK,' yang menggunakan obfuscation untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh muatan tahap kedua, shellPlugin, yang disamarkan sebagai gambar PNG yang tidak berbahaya.
Google mengatakan kepada BleepingComputer bahwa mereka mengetahui aplikasi yang dilaporkan dan sedang menyelidikinya.
Baca Juga: Serangan Malware dan Ransomware Terus Mengancam Keamanan Data
Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp 'GBWhatsApp' dan 'FMWhatsApp,' yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang lebih luas. Contoh lainnya adalah mod Spotify, 'Spotify Plus,' yang menjanjikan akses gratis ke layanan premium bebas iklan.
Laporan tersebut juga menyebutkan mod Minecraft dan mod untuk game populer lainnya seperti Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox, yang terinfeksi denganloaderNecro.
Versi baru dari Trojan Necro ini diinstal melalui kit pengembangan perangkat lunak periklanan (SDK) berbahaya yang digunakan oleh aplikasi yang sah, mod game Android, dan versi modifikasi dari perangkat lunak populer, seperti Spotify, WhatsApp, dan Minecraft.
Setelah terinstal, Necro memasang beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya. Berikut rinciannya:
- Adware yang memuat tautan melalui jendela WebView yang tidak terlihat (plugin Island, Cube SDK).
- Modul yang mengunduh dan menjalankan file JavaScript dan DEX secara acak (Happy SDK, Jar SDK).
- Alat yang dirancang khusus untuk memfasilitasi penipuan langganan (plugin Web, Happy SDK, plugin Tap).
- Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk merutekan lalu lintas berbahaya (plugin NProxy)
Penyebaran Necro Trojan di Google Play
Kaspersky menemukan keberadaan Necro pada dua aplikasi di Google Play, keduanya memiliki basis pengguna yang besar. Apa saja aplikasi itu? Berikut seperti yang dilansir Bleeping Computer:1. Wuta Camera: Aplikasi pengeditan dan mempercantik foto dengan lebih dari 10.000.000 unduhan di Google Play. Necro muncul di aplikasi ini dengan rilis versi 6.3.2.148, dan tetap tertanam hingga versi 6.3.6.148.
2. Max Browser: Browser web yang memiliki 1 juta unduhan di Google Play. Versi terbaru Max Browser, 1.2.0, masih membawa Necro.
Kaspersky mengatakan bahwa kedua aplikasi tersebut terinfeksi oleh SDK periklanan bernama 'Coral SDK,' yang menggunakan obfuscation untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh muatan tahap kedua, shellPlugin, yang disamarkan sebagai gambar PNG yang tidak berbahaya.
Google mengatakan kepada BleepingComputer bahwa mereka mengetahui aplikasi yang dilaporkan dan sedang menyelidikinya.
Penyebaran Necro Trojan di Luar Play Store
Di luar Google Play Store, Necro Trojan menyebar terutama melalui versi modifikasi dari aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.Baca Juga: Serangan Malware dan Ransomware Terus Mengancam Keamanan Data
Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp 'GBWhatsApp' dan 'FMWhatsApp,' yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang lebih luas. Contoh lainnya adalah mod Spotify, 'Spotify Plus,' yang menjanjikan akses gratis ke layanan premium bebas iklan.
Laporan tersebut juga menyebutkan mod Minecraft dan mod untuk game populer lainnya seperti Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox, yang terinfeksi denganloaderNecro.
(dan)
Lihat Juga :
