Troyano Necro
En 2019, los investigadores de ciberseguridad descubrieron un problema preocupante: una aplicación legítima de Android en Google Play Store había sido comprometida por una biblioteca de terceros utilizada por los desarrolladores para generar ingresos por publicidad. Esta modificación provocó que 100 millones de dispositivos se conectaran a servidores controlados por atacantes, que luego desplegaron cargas útiles ocultas.
Ahora se ha producido una situación similar. Los expertos en seguridad informática han identificado dos nuevas aplicaciones, descargadas 11 millones de veces desde Google Play, que están infectadas por la misma familia de malware. Parece que el culpable es una vez más un kit de desarrollo de software inseguro utilizado para integrar funciones publicitarias.
Tabla de contenido
¿Qué es un SDK?
Los kits de desarrollo de software, o SDK, ofrecen a los desarrolladores marcos predefinidos que simplifican y aceleran el proceso de creación de aplicaciones al gestionar tareas rutinarias. En este caso, se integró en las aplicaciones un módulo SDK no verificado, aparentemente diseñado para admitir la visualización de anuncios, pero, bajo la superficie, habilitaba métodos avanzados para comunicarse de forma encubierta con servidores comprometidos. Esto permitía a las aplicaciones cargar datos de usuarios y descargar código dañino, que podía ejecutarse o actualizarse en cualquier momento.
¿Cómo infectan los dispositivos los troyanos Necro?
La familia de malware detrás de ambas campañas se llama Necro y, en este caso, algunas variantes emplean técnicas avanzadas como la esteganografía, un método de ofuscación poco común en las amenazas móviles. Algunas variantes también utilizan métodos sofisticados para distribuir código fraudulento capaz de operar con privilegios elevados del sistema. Una vez que un dispositivo está infectado, se comunica con un servidor de comando y control controlado por el atacante. Envía datos JSON cifrados que informan detalles sobre el dispositivo comprometido y la aplicación que aloja el módulo fraudulento.
El servidor responde entonces con un mensaje JSON que incluye un enlace a una imagen PNG y metadatos que contienen el hash de la imagen. Si el módulo del dispositivo infectado verifica el hash, procede a descargar la imagen.
Los investigadores explicaron que el módulo SDK utiliza un algoritmo esteganográfico simple. Al pasar la comprobación MD5, extrae el contenido del archivo PNG, específicamente los valores de píxeles de los canales ARGB, utilizando herramientas estándar de Android. El método getPixel recupera un valor donde el byte menos significativo contiene el canal azul de la imagen y el malware comienza su procesamiento a partir de ahí.
El troyano Necro podría tener consecuencias graves
Las cargas útiles posteriores instaladas por el malware descargan complementos fraudulentos que se pueden personalizar para cada dispositivo infectado para realizar diversas acciones. Uno de estos complementos permite que el código se ejecute con privilegios elevados del sistema. Normalmente, Android restringe el uso de WebView (un componente para mostrar páginas web dentro de las aplicaciones) por parte de los procesos privilegiados. Para superar esta restricción, Necro emplea una técnica conocida como ataque de reflexión para crear una instancia separada de la fábrica WebView.
Además, este complemento puede descargar y ejecutar otros archivos que modifican los enlaces que se muestran a través de WebView. Con privilegios elevados del sistema, estos ejecutables pueden alterar las URL para insertar códigos de confirmación para suscripciones pagas y descargar y ejecutar código desde enlaces controlados por el atacante. Los investigadores identificaron cinco cargas útiles distintas durante su análisis de Necro. Además, la estructura modular de Necro proporciona numerosas formas para que el malware opere.
El troyano Necro fue encontrado en dos aplicaciones
Los investigadores identificaron a Necro en dos aplicaciones en Google Play. Una de ellas, Wuta Camera, ha obtenido 10 millones de descargas. Las versiones 6.3.2.148 a 6.3.6.148 de Wuta Camera contenían el SDK malicioso responsable de las infecciones, pero la aplicación ha sido actualizada para eliminar el componente dañino. Otra aplicación, Max Browser, con aproximadamente 1 millón de descargas, también se vio comprometida; sin embargo, ya no está disponible en Google Play.
Además, los investigadores descubrieron que Necro infectaba una serie de aplicaciones Android que se ofrecían en mercados alternativos. Estas aplicaciones suelen presentarse como versiones modificadas de aplicaciones legítimas, entre las que se incluyen Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer y Melon Sandbox.
