[ad_1]
Alguno Google Play Según los investigadores de seguridad, los atacantes están atacando aplicaciones y mods no oficiales de aplicaciones populares para propagar un malware peligroso. El supuesto troyano Necro es capaz de registrar pulsaciones de teclas, robar información confidencial, instalar malware adicional y ejecutar comandos de forma remota. Se han detectado dos aplicaciones en la tienda de aplicaciones Google Play con este malware. Además, se han encontrado paquetes de aplicaciones Android (APK) modificados de aplicaciones como Spotify, WhatsAppy también se detectó que juegos como Minecraft distribuían el troyano.
Aplicaciones de Google Play y APK modificadas utilizadas para propagar el troyano Necro
La primera vez que se detectó un troyano de la familia Necro fue En 2019 Cuando el malware infectó la popular aplicación de creación de archivos PDF CamScanner, la versión oficial de la aplicación en Google Play, con más de 100 millones de descargas, supuso un riesgo para los usuarios, pero un parche de seguridad solucionó el problema en ese momento.
Según un correo Según los investigadores de Kaspersky, una nueva versión del troyano Necro ha sido detectada en dos aplicaciones de Google Play. La primera es la aplicación Wuta Camera, que ha sido descargada más de 10 millones de veces, y la segunda es Max Browser, con más de un millón de descargas. Los investigadores han confirmado que Google eliminó las aplicaciones infectadas después de que Kaspersky se puso en contacto con la empresa.
El problema principal surge de una gran cantidad de versiones «modificadas» no oficiales de aplicaciones populares, que se encuentran alojadas en una gran cantidad de sitios web de terceros. Los usuarios pueden descargarlas e instalarlas por error en sus dispositivos. Androide dispositivos, infectándolos en el proceso. Algunos de los APK con malware detectados por los investigadores incluyen versiones modificadas de SpotifyWhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox: estas versiones modificadas prometen a los usuarios acceso a funciones que normalmente requieren una suscripción paga.
Curiosamente, parece que los atacantes están utilizando una variedad de métodos para atacar a los usuarios. Por ejemplo, el mod de Spotify contenía un SDK que mostraba múltiples módulos publicitarios, según los investigadores. Se estaba utilizando un servidor de comando y control (C&C) para desplegar la carga útil del troyano si el usuario tocaba accidentalmente el módulo basado en imágenes.
De manera similar, en el mod de WhatsApp, se descubrió que los atacantes habían sobrescrito el servicio en la nube Firebase Remote Config de Google para usarlo como servidor C&C. En última instancia, la interacción con el módulo implementaría y ejecutaría la misma carga útil.
Una vez instalado, el malware podría “descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces arbitrarios en ventanas WebView invisibles para ejecutar código JavaScript”, destaca la publicación de Kaspersky. Además, también podría suscribirse a servicios de pago costosos sin que el usuario lo sepa.
Si bien las aplicaciones de Google Play ya se han eliminado, se insta a los usuarios a tener cuidado al descargar aplicaciones de Android de fuentes de terceros. En caso de que no confíen en la tienda, deben abstenerse de descargar o instalar cualquier aplicación o archivo.
[ad_2]
Enlace fuente
