Trojan Necro infiltra-se em aplicações do Google Play

No final do mês de agosto de 2024, os especialistas da Kaspersky identificaram uma nova versão do Trojan Necro, infiltrado em várias aplicações populares no Google Play e modificado em aplicações em plataformas não oficiais, incluindo o Spotify, o WhatsApp e o Minecraft.

O Necro é um downloader para Android que permite descarregar e executar outros componentes maliciosos em dispositivos infetados com base em comandos emitidos pelos criadores do Trojan.

As soluções da Kaspersky registaram ataques em mais de 120 países do mundo e Portugal está entre os 30 mais afetados, ocupando mesmo o 8º lugar nos países da União Europeia.

A variante do Necro, descoberta pelos especialistas da Kaspersky, permite descarregar módulos para smartphones infetados que exibem anúncios em janelas invisíveis.

Ao aceder a estes anúncios, o trojan pode descarregar ficheiros executáveis, instalar aplicações e abrir ligações arbitrárias em janelas WebView invisíveis com o intuito de executar código escrito em JavaScript.

Com base nas suas caraterísticas técnicas, é provável que o cavalo de Troia também seja capaz de submeter os utilizadores a serviços pagos e associá-los a uma subscrição.

Além disso, os módulos descarregados permitem que os atacantes redirecionem o tráfego da Internet através do dispositivo da vítima. Isto permite que os cibercriminosos utilizem recursos proibidos ou desejados através do dispositivo da vítima, tornando-o parte de uma botnet proxy.

O Trojan Necro afetou 124 países em todo o mundo. Entre os países mais afetados encontram-se a Rússia, o Brasil, o Vietname, o Equador e o México.

Na União Europeia, a Espanha lidera o ranking, seguida da Itália, Alemanha, França e Países Baixos. Portugal ocupa o sétimo lugar na União Europeia e o 27º no mundo.

A primeira descoberta do Necro, realizada pelos especialistas da Kaspersky, foi numa versão modificada do Spotify Plus.

Os criadores da aplicação afirmaram que era segura para os dispositivos e que oferecia funcionalidades adicionais que não se encontravam na aplicação oficial de streaming de música.

Posteriormente, a Kaspersky encontrou também uma versão modificada do WhatsApp que continha o downloader Necro, seguida de versões infetadas de jogos populares, incluindo o Minecraft, o Stumble Guys e o Car Parking Multiplayer. O Necro foi incorporado nestas aplicações através de um módulo de anúncios não verificado.

“Os utilizadores descarregam frequentemente aplicações não oficiais e modificadas para contornar as restrições das aplicações oficiais ou para aceder a funcionalidades adicionais gratuitas. Os cibercriminosos exploram este comportamento e propagam malware através destas aplicações, uma vez que não existe moderação em plataformas de terceiros”, destaca Dmitry Kalinin, especialista em cibersegurança da Kaspersky.