Menurut peneliti keamanan, beberapa aplikasi Google Play dan modifikasi tidak resmi dari aplikasi populer menjadi sasaran penyerang untuk menyebarkan malware berbahaya. Virus yang disebut Necro dapat merekam penekanan tombol, mencuri informasi sensitif, memasang malware tambahan, dan menjalankan perintah dari jarak jauh. Dua aplikasi telah terdeteksi di toko aplikasi Google Play yang terinfeksi virus berbahaya ini. Selain itu, paket aplikasi Android (APK) yang dimodifikasi untuk aplikasi seperti Spotify, WhatsApp, dan game seperti Minecraft telah ditemukan menyebarkan Trojan.
Aplikasi Google Play dan file APK yang dimodifikasi digunakan untuk menyebarkan virus Necro Trojan
Necro Trojan pertama terlihat pada tahun 2019 ketika malware tersebut menginfeksi aplikasi pembuatan PDF populer CamScanner. Versi resmi aplikasi di Google Play, yang telah diunduh lebih dari 100 juta kali, menimbulkan risiko bagi pengguna, namun patch keamanan telah memperbaiki masalah tersebut pada saat itu.
Menurut surat Peneliti Kaspersky telah menemukan versi baru Necro Trojan di dua aplikasi Google Play. Yang pertama adalah aplikasi Wuta Camera yang sudah diunduh lebih dari 10 juta kali, dan yang kedua adalah Max Browser yang sudah diunduh lebih dari 1 juta kali. Para peneliti mengkonfirmasi bahwa Google menghapus aplikasi yang terinfeksi setelah Kaspersky menghubungi perusahaan tersebut.
Masalah utama berasal dari sejumlah besar versi aplikasi populer yang “dimodifikasi” tidak resmi, yang dihosting di sejumlah besar situs pihak ketiga. Pengguna dapat secara tidak sengaja mengunduh dan menginstalnya di perangkat Android mereka, sehingga menginfeksi mereka dalam prosesnya. Beberapa APK berisi malware yang ditemukan oleh para peneliti termasuk versi modifikasi Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox – versi modifikasi ini menjanjikan pengguna akses ke fitur-fitur yang biasanya memerlukan langganan berbayar.
Menariknya, penyerang menggunakan berbagai metode untuk menargetkan pengguna. Misalnya, modifikasi Spotify berisi SDK yang menampilkan beberapa unit iklan, menurut para peneliti. Server perintah dan kontrol (C&C) digunakan untuk menyebarkan muatan Trojan jika pengguna secara tidak sengaja menyentuh modul berbasis gambar.
Begitu pula pada modifikasi WhatsApp, ditemukan bahwa penyerang telah menggantikan layanan cloud Firebase Remote Config Google untuk menggunakannya sebagai server C&C. Pada akhirnya, interaksi dengan modul akan menghasilkan penerapan dan eksekusi payload yang sama.
Setelah disebarkan, malware tersebut dapat “mengunduh file yang dapat dieksekusi, menginstal aplikasi pihak ketiga, dan membuka tautan sewenang-wenang di jendela WebView yang tidak terlihat untuk mengeksekusi kode JavaScript,” jelas Kaspersky. Selain itu, mereka juga dapat berlangganan layanan berbayar yang mahal tanpa sepengetahuan pengguna.
Meskipun aplikasi tersebut telah dihapus dari Google Play Store, pengguna disarankan untuk berhati-hati saat mengunduh aplikasi Android dari sumber pihak ketiga. Jika mereka tidak mempercayai toko tersebut, mereka harus menahan diri untuk tidak mengunduh atau menginstal aplikasi atau file apa pun.
