Эксперты «Лаборатории Касперского» обнаружили, что в несколько популярных приложений в Google Play и на неофициальных площадках проникла новая версия зловреда, трояна Necro – загрузчика для Android, который скачивает и запускает на заражённом смартфоне другие вредоносные компоненты по команде создателей вируса, сообщает ЛК в понедельник.
Решения «Лаборатории Касперского» зафиксировали атаки Necro на пользователей в России, Бразилии, Вьетнаме, Эквадоре и Мексике.
Новый вариант Necro может загружать на заражённый смартфон модули, которые показывают на устройстве рекламу в невидимых окнах и «прокликивают» её, скачивают исполняемые файлы, устанавливают на телефон сторонние приложения, открывают в невидимых окнах произвольные ссылки в WebView и исполняют там произвольный JavaScript-код, а также могут оформлять платные подписки. Кроме того, загружаемые модули дают злоумышленникам возможность пересылать интернет-трафик через устройство жертвы. Это позволяет атакующим использовать заражённый гаджет как часть прокси-ботнета.
Как говорится в сообщении, на неофициальных площадках, в частности, Necro был найден в модифицированных версиях Spotify Plus, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer.
В Google Play троянец обнаружили в приложении Wuta Camera и в браузере Max Browser. Согласно данным из Google Play, общее количество скачиваний этих приложений превысило 11 миллионов. Сейчас из Wuta Camera удалён вредоносный код, а Max Browser удалён из магазина.
Защитные решения «Лаборатории Касперского» защищают от Necro и детектируют обнаруженный загрузчик как Trojan-Downloader.AndroidOS.Necro.f и Trojan-Downloader.AndroidOS.Necro.h, а вредоносные компоненты — как Trojan.AndroidOS.Necro, говорится в сообщении.