Sebanyak 11 juta perangkat Android dilaporkan telah terjangkit versi baru malware Trojan Necro yang dipasang melalui aplikasi resmi yang diunduh dari Google Play.
Malware ini juga masuk lewat mod gim Android juga versi modifikasi perangkat lunak populer, seperti Spotify, WhatsApp, dan Minecraft.
Dikutip dari BleepingComputer, Jumat (27/9), Necro memasang beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya, termasuk:
Adware yang memuat tautan melalui jendela WebView yang tidak terlihat, modul yang mengunduh dan menjalankan file JavaScript dan DEX yang sembarangan, alat yang secara khusus dirancang untuk memfasilitasi penipuan langganan, serta mekanisme yang menggunakan perangkat yang terinfeksi sebagai proksi untuk mengarahkan lalu lintas berbahaya.
Perusahaan keamanan siber Kaspersky menemukan keberadaan Necro loader pada dua aplikasi di Google Play, yang keduanya memiliki basis pengguna yang besar.
Yang pertama adalah Wuta Camera buatan 'Benqu,' yaitu sebuah aplikasi yang biasa digunakan untuk mengedit dan mempercantik foto. Aplikasi ini sudah diunduh lebih dari 10.000.000 kali di Google Play.
Analis melaporkan bahwa Necro muncul di aplikasi tersebut dengan dirilisnya versi 6.3.2.148, dan tetap tertanam hingga versi 6.3.6.148, saat Kaspersky memberitahu Google.
Meskipun trojan tersebut telah dihapus pada versi 6.3.7.138, muatan apa pun yang mungkin telah diinstal melalui versi lama mungkin masih mengintai di perangkat Android.
Aplikasi resmi kedua yang membawa Necro adalah Max Browser buatan 'WA message recover-warm,' yang telah diunduh 1 juta kali di Google Play hingga dihapus.
Kaspersky mengklaim bahwa versi terbaru Max Browser, 1.2.0, masih membawa Necro, jadi tidak ada versi bersih yang tersedia untuk ditingkatkan, dan pengguna peramban web tersebut disarankan untuk segera menghapusnya dan beralih ke peramban lain.
Kaspersky mengatakan kedua aplikasi tersebut terinfeksi oleh SDK iklan bernama 'Coral SDK,' yang menggunakan pengaburan untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh muatan tahap kedua, shellPlugin, yang disamarkan sebagai gambar PNG yang tidak berbahaya.
Google mengatakan kepada BleepingComputer bahwa mereka mengetahui adanya aplikasi yang dilaporkan dan sedang menyelidikinya.
Di luar Play Store, Trojan Necro menyebar terutama melalui versi modifikasi dari aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.
Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp 'GBWhatsApp' dan 'FMWhatsApp,' yang menjanjikan kontrol privasi yang lebih baik dan batas berbagi file yang lebih luas. Yang lainnya adalah mod Spotify, 'Spotify Plus,' yang menjanjikan akses gratis ke layanan premium bebas iklan.
