
Versi yang diubah dari aplikasi Android sah yang dikaitkan dengan Spotify, WhatsApp, dan Minecraft telah digunakan untuk mengirimkan versi baru dari pemuat malware terkenal yang disebut Necro.
Kaspersky mengatakan beberapa aplikasi berbahaya juga ditemukan di Google Play Store. Aplikasi-aplikasi tersebut telah diunduh sebanyak 11 juta kali. Aplikasi-aplikasi tersebut termasuk:
- Wuta Camera – Nice Shot Always (com.benqu.wuta) – 10+ juta unduhan
- Max Browser-Pribadi & Keamanan (com.max.browser) – 1+ juta unduhan
Saat artikel ini ditulis, Max Browser tidak lagi tersedia untuk diunduh dari Play Store. Di sisi lain, Wuta Camera telah diperbarui (versi 6.3.7.138) untuk menghapus malware tersebut. Versi terbaru aplikasi tersebut, 6.3.8.148, dirilis pada 8 September 2024.

Saat ini belum jelas bagaimana kedua aplikasi tersebut bisa terinfeksi malware sejak awal, meskipun diyakini bahwa penyebabnya adalah software developer kit (SDK) palsu yang mengintegrasikan kemampuan periklanan.
Necro (jangan disamakan dengan botnet dengan nama yang sama) pertama kali ditemukan oleh perusahaan keamanan siber Rusia pada tahun 2019 ketika disembunyikan dalam aplikasi pemindaian dokumen populer yang disebut CamScanner.
CamScanner kemudian menyalahkan masalah tersebut pada SDK iklan yang disediakan oleh pihak ketiga bernama AdHub yang katanya berisi modul berbahaya untuk mengambil malware tahap berikutnya dari server jarak jauh, yang pada dasarnya bertindak sebagai pemuat semua jenis malware ke perangkat korban.

Versi baru malware ini tidak berbeda, meskipun ia dilengkapi dengan teknik pengaburan untuk menghindari deteksi, khususnya memanfaatkan steganografi untuk menyembunyikan muatan.
“Muatan yang diunduh, antara lain, dapat menampilkan iklan di jendela tak kasat mata dan berinteraksi dengannya, mengunduh dan menjalankan file DEX sembarangan, memasang aplikasi yang diunduhnya,” kata peneliti Kaspersky Dmitry Kalinin.
Ia juga dapat “membuka tautan acak di jendela WebView yang tak terlihat dan menjalankan kode JavaScript apa pun di dalamnya, menjalankan terowongan melalui perangkat korban, dan berpotensi berlangganan layanan berbayar.”
Salah satu sarana pengiriman utama untuk Necro adalah versi modifikasi dari aplikasi dan game populer yang dihosting di situs dan toko aplikasi tidak resmi. Setelah diunduh, aplikasi tersebut menginisialisasi modul bernama Coral SDK, yang kemudian mengirimkan permintaan HTTP POST ke server jarak jauh.
Server kemudian merespons dengan tautan ke file gambar PNG yang diduga dihosting di adoss.spinsok[.]com, yang kemudian dilanjutkan oleh SDK untuk mengekstrak muatan utama – sebuah berkas arsip Java berkode Base64 (JAR) – darinya.

Fungsi jahat Necro diwujudkan melalui serangkaian modul tambahan (alias plugin) yang diunduh dari server perintah dan kontrol (C2), yang memungkinkannya melakukan berbagai tindakan pada perangkat Android yang terinfeksi –
- NProxy – Buat terowongan melalui perangkat korban
- pulau – Hasilkan angka pseudo-acak yang digunakan sebagai interval waktu (dalam milidetik) antara tampilan iklan yang mengganggu
- web – Hubungi server C2 secara berkala dan jalankan kode arbitrer dengan izin yang lebih tinggi saat memuat tautan tertentu
- Cube SDK – Modul pembantu yang memuat plugin lain untuk menangani iklan di latar belakang
- Ketuk – Unduh kode JavaScript sewenang-wenang dan antarmuka WebView dari server C2 yang bertanggung jawab untuk memuat dan melihat iklan secara diam-diam
- Happy SDK/Jar SDK – Modul yang menggabungkan modul NProxy dan web dengan beberapa perbedaan kecil

Penemuan Happy SDK telah memunculkan kemungkinan bahwa pelaku ancaman di balik kampanye tersebut juga bereksperimen dengan versi non-modular.
“Hal ini menunjukkan bahwa Necro sangat mudah beradaptasi dan dapat mengunduh berbagai iterasinya sendiri, mungkin untuk memperkenalkan fitur baru,” kata Kalinin.
Data telemetri yang dikumpulkan Kaspersky menunjukkan bahwa mereka memblokir lebih dari sepuluh ribu serangan Necro di seluruh dunia antara 26 Agustus dan 15 September 2024, dengan Rusia, Brasil, Vietnam, Ekuador, Meksiko, Taiwan, Spanyol, Malaysia, Italia, dan Turki menyumbang jumlah serangan terbanyak.
“Versi baru ini adalah pemuat multi-tahap yang menggunakan steganografi untuk menyembunyikan muatan tahap kedua, teknik yang sangat langka untuk malware seluler, serta pengaburan untuk menghindari deteksi,” kata Kalinin.
“Arsitektur modular memberikan berbagai pilihan bagi pembuat Trojan untuk pengiriman massal dan tertarget pembaruan loader atau modul berbahaya baru, tergantung pada aplikasi yang terinfeksi.”