Versi yang diubah dari aplikasi Android yang sah, terkait dengan Spotify, WhatsApp, dan Minecraft, telah digunakan untuk menyebarkan versi baru dari loader malware yang dikenal sebagai Necro.
Kaspersky melaporkan bahwa beberapa aplikasi berbahaya ini juga ditemukan di Google Play Store dan telah diunduh secara kumulatif sebanyak 11 juta kali. Aplikasi-aplikasi tersebut termasuk:
- Wuta Camera – Nice Shot Always (com.benqu.wuta) – 10+ juta unduhan
- Max Browser – Private & Security (com.max.browser) – 1+ juta unduhan
Pada saat penulisan, Max Browser sudah tidak lagi tersedia untuk diunduh dari Play Store. Sementara itu, Wuta Camera telah diperbarui (versi 6.3.7.138) untuk menghapus malware. Versi terbaru dari aplikasi ini, 6.3.8.148, dirilis pada 8 September 2024.
Belum jelas bagaimana kedua aplikasi ini pertama kali terkompromi oleh malware, meskipun diduga bahwa Software Developer Kit (SDK) yang digunakan untuk mengintegrasikan fitur iklan menjadi penyebabnya.
Necro (tidak sama dengan botnet bernama sama) pertama kali ditemukan oleh perusahaan keamanan siber asal Rusia pada tahun 2019 ketika tersembunyi dalam aplikasi pemindai dokumen populer bernama CamScanner.
CamScanner kemudian menyalahkan masalah tersebut pada SDK iklan yang disediakan oleh pihak ketiga bernama AdHub, yang diketahui mengandung modul berbahaya untuk mengambil malware tahap berikutnya dari server jarak jauh, pada dasarnya bertindak sebagai loader untuk berbagai jenis malware di perangkat korban.
Versi baru dari malware ini tidak jauh berbeda, meskipun mengemas teknik pengaburan (obfuscation) untuk menghindari deteksi, khususnya menggunakan steganografi untuk menyembunyikan payload.
“Payload yang diunduh, antara lain, dapat menampilkan iklan di jendela tak terlihat dan berinteraksi dengan iklan tersebut, mengunduh dan mengeksekusi file DEX sembarang, serta menginstal aplikasi yang diunduh,” kata peneliti Kaspersky Dmitry Kalinin.
Malware ini juga dapat “membuka tautan sembarang di jendela WebView tak terlihat dan mengeksekusi kode JavaScript, membuat terowongan melalui perangkat korban, dan mungkin berlangganan layanan berbayar.”
Salah satu metode distribusi utama untuk Necro adalah versi modifikasi dari aplikasi dan game populer yang di-hosting di situs-situs tidak resmi dan toko aplikasi pihak ketiga. Setelah diunduh, aplikasi tersebut menginisialisasi modul bernama Coral SDK, yang kemudian mengirimkan permintaan HTTP POST ke server jarak jauh.
Server kemudian merespons dengan tautan ke file gambar PNG yang di-hosting di adoss.spinsok[.]com, setelah itu SDK melanjutkan untuk mengekstrak payload utama – file arsip Java (JAR) yang dienkode dalam Base64 – dari file tersebut.
Fungsi berbahaya dari Necro direalisasikan melalui serangkaian modul tambahan (alias plugin) yang diunduh dari server command-and-control (C2), memungkinkan malware ini melakukan berbagai tindakan di perangkat Android yang terinfeksi, termasuk:
- NProxy – Membuat terowongan melalui perangkat korban
- island – Menghasilkan angka acak semu yang digunakan sebagai interval waktu (dalam milidetik) antara tampilan iklan yang mengganggu
- web – Secara berkala menghubungi server C2 dan mengeksekusi kode sembarang dengan izin yang ditingkatkan saat memuat tautan tertentu
- Cube SDK – Modul pembantu yang memuat plugin lain untuk menangani iklan di latar belakang
- Tap – Mengunduh kode JavaScript dan antarmuka WebView dari server C2 yang bertanggung jawab untuk memuat dan melihat iklan secara diam-diam
- Happy SDK/Jar SDK – Modul yang menggabungkan modul NProxy dan web dengan beberapa perbedaan kecil
Penemuan Happy SDK telah menimbulkan kemungkinan bahwa aktor ancaman di balik kampanye ini sedang bereksperimen dengan versi non-modular juga.
“Ini menunjukkan bahwa Necro sangat adaptif dan dapat mengunduh iterasi berbeda dari dirinya sendiri, mungkin untuk memperkenalkan fitur baru,” kata Kalinin.
Data telemetri yang dikumpulkan oleh Kaspersky menunjukkan bahwa mereka telah memblokir lebih dari sepuluh ribu serangan Necro di seluruh dunia antara 26 Agustus dan 15 September 2024, dengan Rusia, Brasil, Vietnam, Ekuador, Meksiko, Taiwan, Spanyol, Malaysia, Italia, dan Turki mencatatkan jumlah serangan terbanyak.
“Versi baru ini adalah multi-stage loader yang menggunakan steganografi untuk menyembunyikan payload tahap kedua, teknik yang sangat jarang digunakan untuk malware seluler, serta pengaburan untuk menghindari deteksi,” jelas Kalinin.
“Arsitektur modular memberi pencipta Trojan ini berbagai opsi untuk distribusi loader secara massal maupun terarah, atau pembaruan modul berbahaya baru tergantung pada aplikasi yang terinfeksi.”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
Necro Android Malware Found in Popular Camera and Browser Apps on Play Store, The Hacker News.
Baca Juga : Microsoft Peringatkan Ancaman Ransomware INC yang Menargetkan Sektor Kesehatan di AS
