تروجان نکرو (Necro) چگونه 11 میلیون کاربر اندروید را آلوده کرد؟

کاربران نسخه های تغییر یافته اسپاتیفای (Spotify)، واتس اپ (WhatsApp)، ماینکرافت (Minecraft) و سایر برنامه های گوگل پلی (Google Play) در معرض خطر هستند.

شرکت ایده ارتباط تراشه (نماینده رسمی کسپرسکی در ایران): ما همیشه از کاربران خود می خواهیم که هنگام دانلود محتوا در دستگاه های خود بسیار مراقب باشند. به هر حال، حتی گوگل پلی هم در برابر بدافزار مصون نیست – چه برسد به منابع غیر رسمی با مودها و نسخه‌ های هک شده. تا زمانی که دنیای دیجیتال به کار خود ادامه می ‌دهد، تروجان ها راه خود را روی دستگاه ‌هایی که حفاظت (آنتی ویروس) قابل اعتمادی ندارند، ادامه خواهند داد.

امروز می گوییم که چگونه 11 میلیون کاربر اندروید در سراسر جهان قربانی تروجان نکرو (Necro) شدند. با ما همراه باشید تا بدانید آن را در کدام برنامه‌ ها پیدا کردیم و چگونه باید از خود محافظت کنید.

در سال 2019، کارشناسان یک تروجان را در CamScanner (یک برنامه تشخیص متن) کشف کردند که بیش از 100 میلیون بار در گوگل پلی دانلود شده بود. اکنون ما یک نسخه با ویژگی های بیشتر را، هم در برنامه های محبوب گوگل پلی و هم در مودهای مختلف برنامه در سایت های غیر رسمی پیدا کردیم. به احتمال زیاد، توسعه دهندگان این برنامه ها از یک ابزار یکپارچه سازی تبلیغات تایید نشده استفاده کرده اند که Necro از طریق آن به کد نفوذ کرده است.

نکرو (Necro) امروزی یک دانلودر است که برای جلوگیری از شناسایی مبهم سازی شده است. Necro پی‌لود¹ مخرب را به روشی زیرکانه دانلود می کند و از پنهان نگاری برای مخفی کردن کد خود در یک تصویر به ظاهر بی ضرر استفاده می کند.

ماژول ‌های مخرب دانلود شده می‌ توانند فایل ‌های DEX (کدهای کامپایل ‌شده اندروید) را لود و اجرا کنند، برنامه‌ های دانلود شده را نصب کنند، از طریق دستگاه قربانی تونل ایجاد کنند و حتی به طور پنهانی اشتراک ‌های پولی را از بین ببرند. علاوه بر این، آن ها می توانند تبلیغات را در پنجره های نامرئی نمایش دهند و با آن ها تعامل داشته باشند، همچنین لینک های دلخواه را باز کرده و هر کد جاوا اسکریپتی را اجرا کنند.

ما ردپای بدافزار را در نسخه ‌ای از اسپاتیفای که توسط کاربر تغییر یافته بود، در برنامه ویرایش عکس Wuta Camera، در مرورگر Max، و در مودهای واتس‌ اپ و بازی‌ های محبوب (از جمله ماینکرافت) پیدا کردیم.

در اسپاتیفای مود شده. در ابتدای تحقیقات، تغییر غیر معمول برنامه اسپاتیفای پلاس نظر ما را جلب کرد. از کاربران دعوت شد تا نسخه جدیدی از برنامه مورد علاقه خود را از یک منبع غیر رسمی دانلود کنند – به شکل رایگان و با یک اشتراک آنلاک که به صورت آنلاین و آفلاین امکان گوش دادن نامحدود را ارائه می دهد. دکمه سبز زیبا Download Spotify MOD APK بسیار وسوسه انگیز به نظر می رسد، درست است؟ اما، بدافزار است. به ضمانت ‌های تایید شده امنیتی و گواهینامه رسمی اهمیتی ندهید. این برنامه ویران می کند.

هنگامی که این برنامه راه اندازی شد، تروجان اطلاعات مربوط به دستگاه آلوده را به سرور C2 مهاجمان ارسال کرد و در پاسخ لینکی برای دانلود یک تصویر PNG دریافت کرد. پی‌لود مخرب در این تصویر با استفاده از روش پنهان نگاری مخفی شده بود.

در برنامه های گوگل پلی. در حالی که مود اسپاتیفای از طریق کانال‌ های غیر رسمی توزیع می‌ شد، برنامه Wuta Camera آلوده به Necro، راه خود را به گوگل پلی پیدا کرد، جایی که این برنامه بیش از 10 میلیون بار دانلود شده بود. بر اساس داده های ما، Necro به نسخه 6.3.2.148 Wuta Camera نفوذ کرد، نسخه های تمیز از 6.3.7.138 شروع می شود. بنابراین، اگر نسخه شما پایین تر از آن است، باید فورا به روز رسانی کنید.

مخاطبان مرورگر Max بسیار کمتر هستند – فقط یک میلیون کاربر. نکرو به نسخه 1.2.0 نفوذ کرد. این برنامه پس از اطلاع رسانی از گوگل پلی حذف شد، اما همچنان در منابع شخص ثالث در دسترس است. البته به این موارد باید کمتر اعتماد کرد، زیرا ممکن است نسخه های تروجانی شده مرورگر همچنان در آنجا زندگی کنند.

در مودهای واتس ‌اپ، ماینکرافت و سایر برنامه‌ های محبوب. باید همه مودها را، چه در گوگل پلی یا یک سایت شخص ثالث، مشکوک تلقی کنید، زیرا اغلب همراه با تروجان ها هستند.

به عنوان مثال، ما مودهایی برای واتس اپ با Necro که از منابع غیر رسمی توزیع می شود و همچنین مودهایی برای "ماینکرافت، استامبل‌ گایز، کار پارکینگ مولتی پلیر و ملون سندباکس" پیدا کردیم. این انتخاب مطمئنا تصادفی نیست زیرا مهاجمان همیشه محبوب ‌ترین بازی ‌ها و برنامه ‌ها را هدف قرار می‌ دهند.

اول از همه، ما به شدت توصیه می کنیم که برنامه ها را از منابع غیر رسمی دانلود نکنید زیرا خطر آلوده شدن دستگاه بسیار زیاد است. ثانیا، با برنامه ‌های موجود در گوگل پلی و سایر پلتفرم‌ های رسمی نیز باید با مقداری شک و تردید برخورد شود. حتی یک برنامه محبوب مانند Wuta Camera با 10 میلیون بار دانلود در مقابل Necro ناتوان بود.

• برای اینکه توسط یک تروجان غافلگیر نشوید، اطمینان حاصل کنید که از دستگاه های خود محافظت می کنید. کسپرسکی برای اندروید (Kaspersky for Android)، Necro و سایر بدافزارهای مشابه را شناسایی می کند.
• قبل از دانلود، صفحه برنامه را در فروشگاه بررسی کنید. توصیه می کنیم که به نقد و بررسی ‌هایی با رتبه ‌بندی پایین نگاه کنید، زیرا این موارد معمولا در مورد مشکلات احتمالی هشدار می ‌دهند. نظرات عالی ممکن است جعلی باشند.
• به دنبال مودها یا نسخه های هک شده نباشید. چنین برنامه هایی تقریبا همیشه همراه انواع تروجان هستند: از بی ضررترین تا نرم افزارهای جاسوسی موبایل مانند CanesSpy.

_{1- یک پی‌لود مخرب جزئی از حمله می باشد که مسئول اجرای یک فعالیت برای آسیب رساندن به هدف است.}