Beberapa aplikasi Google Play dan modifikasi tidak resmi dari aplikasi populer menjadi sasaran penyerang untuk menyebarkan malware berbahaya, menurut peneliti keamanan. Dugaan Necro Trojan mampu mencatat penekanan tombol, mencuri informasi sensitif, menginstal malware tambahan, dan menjalankan perintah dari jarak jauh. Dua aplikasi telah terlihat di toko aplikasi Google Play yang mengandung malware ini. Selain itu, paket aplikasi Android (APK) yang dimodifikasi (dimodifikasi) untuk aplikasi seperti Spotify, WhatsApp, dan game seperti Minecraft juga ditemukan menyebarkan Trojan.
Aplikasi Google Play dan file APK yang dimodifikasi digunakan untuk menyebarkan Necro Trojan
Trojan keluarga Necro pertama kali terlihat pada tahun 2019 ketika malware menginfeksi pembuat PDF populer CamScanner. Versi resmi aplikasi di Google Play, yang telah diunduh lebih dari 100 juta kali, menimbulkan risiko bagi pengguna, namun patch keamanan telah memperbaiki masalah tersebut pada saat itu.
Menurut A surat Oleh peneliti di Kaspersky, versi baru Necro Trojan telah terdeteksi di dua aplikasi Google Play. Yang pertama adalah aplikasi Wuta Camera yang sudah diunduh lebih dari 10 juta kali, dan yang kedua adalah Max Browser yang sudah diunduh lebih dari 1 juta kali. Para peneliti mengonfirmasi bahwa Google menghapus aplikasi yang terinfeksi setelah Kaspersky menghubungi perusahaan tersebut.
Masalah utamanya berasal dari banyaknya versi aplikasi populer yang “dimodifikasi” tidak resmi, yang dihosting di sejumlah besar situs web pihak ketiga. Pengguna dapat secara tidak sengaja mengunduh dan menginstalnya di perangkat Android mereka, sehingga menginfeksi mereka dalam prosesnya. Beberapa APK berisi malware yang ditemukan oleh para peneliti termasuk versi modifikasi Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox – versi modifikasi ini menjanjikan pengguna akses ke fitur-fitur yang biasanya memerlukan langganan berbayar.
Menariknya, penyerang tampaknya menggunakan berbagai metode untuk menargetkan pengguna. Misalnya, mod Spotify berisi SDK yang menampilkan beberapa unit iklan, menurut para peneliti. Server perintah dan kontrol (C&C) digunakan untuk menyebarkan muatan Trojan jika pengguna secara tidak sengaja menyentuh modul berbasis gambar.
Demikian pula, dalam contoh WhatsApp, penyerang ditemukan telah menimpa layanan cloud Google Firebase Remote Config untuk digunakan sebagai server C&C. Pada akhirnya, interaksi dengan modul akan menghasilkan payload yang sama yang di-deploy dan dieksekusi.
Setelah disebarkan, malware tersebut dapat “mengunduh file yang dapat dieksekusi, menginstal aplikasi pihak ketiga, dan membuka tautan sewenang-wenang di jendela WebView yang tidak terlihat untuk mengeksekusi kode JavaScript,” tulis Kaspersky dalam postingannya. Selain itu, ia juga dapat berlangganan layanan berbayar yang mahal tanpa sepengetahuan pengguna.
Meski aplikasi di Google Play telah dihapus, pengguna diimbau berhati-hati saat mengunduh aplikasi Android dari sumber pihak ketiga. Jika mereka tidak mempercayai pasar, mereka harus menahan diri untuk tidak mengunduh atau menginstal aplikasi atau file apa pun.
