Waspada! Malware Android Necro Infeksi 11 Juta Perangkat via Play Store

JAKARTA, iNews.id - Malware Necro versi baru untuk Android sudah diinstall pada 11 juta perangkat. Malware diinstal melalui Google Play dalam serangan rantai pasokan SDK yang berbahaya. 

Necro Trojan versi baru diinstall melalui software iklan berbahaya (SDK) yang digunakan aplikasi sah, mod game Android, dan modifikasi dari software populer seperti Spotify, WhatsApp, dan Minecraft. Necro menginstal beberapa muatan ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya, termasuk:

• Adware yang memuat link melalui jendela WebView tak terlihat (plugin Pulau, Cube SDK)
• Modul yang mengunduh dan mengeksekusi file JavaScript dan DEX sewenang-wenang (Happy SDK, Jar SDK)
• Alat yang dirancang khusus untuk memfasilitasi penipuan berlangganan (Plugin Web, Happy SDK, plugin Tap)
• Mekanisme yang menggunakan perangkat yang terinfeksi sebagai proxy untuk mengarahkan lalu lintas berbahaya (plugin NProxy)

Necro Trojan di Google Play

Kaspersky menemukan kehadiran Necro loader pada dua aplikasi di Google Play, yang keduanya memiliki basis pengguna yang substansial. Yang pertama adalah Wuta Camera oleh 'Benqu', alat pengeditan dan kecantikan foto dengan lebih dari 10.000.000 unduhan di Google Play.

Analis ancaman melaporkan Necro muncul di aplikasi dengan rilis versi 6.3.2.148, dan tetap tertanam sampai versi 6.3.6.148, yaitu ketika Kaspersky memberi tahu Google. Sementara trojan dihapus dalam versi 6.3.7.138, setiap muatan yang mungkin telah diinstal melalui versi yang lebih lama mungkin masih mengintai di perangkat Android.

Aplikasi sah kedua yang membawa Necro adalah Max Browser oleh 'WA message recovery-wamr', yang memiliki 1 juta unduhan di Google Play sampai dihapus menyusul adanya laporan Kaspersky.

Kaspersky mengklaim versi terbaru Max Browser, 1.2.0, masih membawa Necro, jadi tidak ada versi bersih yang tersedia untuk ditingkatkan, dan pengguna browser web disarankan untuk segera menghapusnya, lalu beralih ke browser yang berbeda.

Kaspersky mengatakan kedua aplikasi tersebut terinfeksi oleh SDK iklan bernama 'Coral SDK', yang menggunakan penyamaran untuk menyembunyikan aktivitas jahatnya dan juga steganografi gambar untuk mengunduh muatan tahap kedua, shellPlugin, yang menyamar sebagai gambar PNG yang tidak berbahaya.

Google mengatakan kepada BleepingComputer mereka mengetahui aplikasi yang dilaporkan dan sedang menyelidiki mereka.