Malware Necro: La Amenaza de SDK Maliciosos en Aplicaciones

11 Millones de Dispositivos Infectados con Malware Necro Botnet Alojado en Google Play.

Hace cinco años, los investigadores descubrieron una aplicación legítima en Google Play que fue convertida en maliciosa por una biblioteca utilizada para obtener ingresos por publicidad. Esto resultó en 100 millones de dispositivos infectados. Ahora, la historia del Malware Necro se repite con dos nuevas aplicaciones, descargadas 11 millones de veces, infectadas con la misma familia de malware.

El Regreso de Necro

El Peligro de los SDK Maliciosos

Los kits de desarrollo de software (SDK) son aplicaciones que aceleran el proceso de creación de aplicaciones. Sin embargo, un SDK no verificado incorporado en las aplicaciones permitía mostrar anuncios y, en secreto, comunicarse con servidores maliciosos para cargar datos del usuario y descargar código malicioso. Este es un vector común de infección utilizado por el Malware Necro.

La Astucia de Necro

La familia de malware sigiloso de ambas campañas se conoce como Necro. Algunas variantes utilizan técnicas como la esteganografía, un método de ofuscación poco frecuente en el malware móvil. También despliegan una astucia para entregar código malicioso que puede ejecutarse con derechos de sistema aumentados. En estos casos, el Malware Necro demuestra su sofisticación.

El Proceso de Infecció
Una vez infectados, los dispositivos se ponen en contacto con un servidor de mando y control y envían solicitudes web con datos JSON cifrados. El servidor responde con un enlace a una imagen PNG y metadatos. Si el hash es correcto, se descarga la imagen.

Decodificación y Ejecució

El módulo SDK utiliza un algoritmo esteganográfico simple. Si la comprobación MD5 tiene éxito, extrae el contenido del archivo PNG. Luego, el método getPixel devuelve un valor y comienza el procesamiento en el código. Estas son técnicas características del Malware Necro.

Las siguientes cargas útiles instaladas descargan plugins maliciosos que pueden mezclarse y combinarse para cada dispositivo infectado. Uno de los plugins permite que el código se ejecute con derechos elevados del sistema.

El Alcance de Necro

El diseño modular de Necro abre innumerables posibilidades de comportamiento al malware. Kaspersky proporcionó una imagen que ofrece una visión general. Esta versatilidad es una de las razones por las que el Malware Necro es tan peligroso.

Los investigadores encontraron Necro en dos aplicaciones de Google Play: Wuta Camera (10 millones de descargas) y Max Browser (1 millón de descargas). Wuta Camera se ha actualizado para eliminar el componente malicioso, mientras que Max Browser ya no está disponible.

Necro también infectaba diversas aplicaciones para Android en mercados alternativos, presentándose como versiones modificadas de aplicaciones legítimas como Spotify, Minecraft, WhatsApp, entre otras. Este enfoque hace que el Malware Necro sea especialmente insidioso.

Fuente: Kaspersky