O Trojan Necro, atualmente, é um carregador disfarçado para dificultar sua detecção, embora isso não tenha impedido sua descoberta. Ele utiliza esteganografia para baixar seu código malicioso, escondendo-o em imagens aparentemente inofensivas.
Os módulos maliciosos que são baixados podem executar várias tarefas perigosas, como carregar e rodar arquivos DEX (código compilado para Android), instalar aplicativos, criar túneis no dispositivo da vítima e até realizar assinaturas de serviços pagos. Além disso, eles são capazes de interagir com anúncios em janelas invisíveis, abrir links aleatórios e executar qualquer código JavaScript.
Para saber mais detalhes sobre o funcionamento e a estrutura do Necro, confira nosso blog no Securelist.
Onde o Necro foi encontrado
O malware foi identificado em uma versão modificada do Spotify, no app de edição de fotos Wuta Camera, no Max Browser, além de mods para WhatsApp e diversos jogos populares, incluindo Minecraft.
No Spotify modificado
Durante nossa investigação, encontramos uma versão alterada do Spotify Plus, disponível para download de fontes não oficiais. Essa versão oferecia funcionalidades desbloqueadas, como audição ilimitada, tanto online quanto offline. Apesar de parecer atraente, este aplicativo é, na verdade, um malware disfarçado. Ele envia informações do dispositivo infectado para o servidor dos invasores e, em troca, baixa uma imagem PNG com código malicioso oculto através de esteganografia.
Em aplicativos do Google Play
Enquanto o mod do Spotify era distribuído por canais não oficiais, a versão infectada da Wuta Camera foi encontrada no Google Play, onde já havia sido baixada mais de 10 milhões de vezes. A infecção ocorreu na versão 6.3.2.148, sendo versões posteriores, como 6.3.7.138, livres do malware. Se você possui uma versão anterior, é altamente recomendável atualizá-la imediatamente.
Em mods de WhatsApp, Minecraft e outros apps populares
Mods de aplicativos como WhatsApp, Minecraft e outros são populares por oferecerem mais funcionalidades. No entanto, é comum que esses mods venham acompanhados de malware, como o Trojan Necro. Encontramos o Necro em mods distribuídos por fontes não oficiais para Minecraft, Stumble Guys, Car Parking Multiplayer, entre outros jogos.
Como se proteger do Necro
Para evitar a infecção pelo Necro, siga estas dicas:
- Evite baixar aplicativos de fontes não oficiais, pois o risco de comprometimento do dispositivo é muito alto.
- Desconfie de apps na Google Play, especialmente se tiverem uma grande quantidade de downloads, mas também com avaliações suspeitas. Verifique comentários com classificações baixas, que muitas vezes alertam sobre possíveis problemas.
- Não baixe mods ou versões hackeadas de aplicativos. Esses arquivos quase sempre estão infectados com diferentes tipos de Trojans.
Proteja seus dispositivos com soluções de segurança como o Kaspersky para Android, que detecta e bloqueia o Necro e outras ameaças semelhantes.
