Malware Necro Trojan su Android: una minaccia crescente
I ricercatori di sicurezza di Kaspersky hanno lanciato un allerta riguardo a una nuova variante del malware **Necro Trojan**, che ha compromesso oltre **11 milioni di dispositivi Android**. Questo problema rappresenta un serio rischio per la sicurezza degli utenti, considerando che il Trojan si è diffuso principalmente attraverso **SDK pubblicitari compromessi** integrati in applicazioni legittime disponibili nel Google Play Store.
Necro Trojan è particolarmente pericoloso grazie alla sua capacità di installare diversi **payload** sui dispositivi infetti, attivando vari plugin dannosi. Tra i meccanismi utilizzati vi sono software malevoli che caricano link attraverso finestre **WebView invisibili**, scaricano e eseguono **file JavaScript** e **DEX** arbitrari, facilitano frodi di abbonamento e trasformano i dispositivi colpiti in **proxy** per traffico malevolo.
Il fatto che Necro Trojan riesca a infiltrarsi anche in applicazioni apparentemente innocue rappresenta un punto di allerta per gli utenti. Ad esempio, sono stati rinvenuti campioni di questo malware in due applicazioni presenti nel Play Store: **Wuta Camera** di “Benqu”, che conta oltre **10 milioni di download**, e **Max Browser** di “WA message recover-wamr”, con oltre **1 milione di download**. La diffusione del malware tramite app legittime evidenzia come la minaccia non si limiti a software di dubbia provenienza, ma si estenda ad applicazioni ampiamente utilizzate e apparentemente sicure.
La situazione è quindi preoccupante, poiché gli utenti potrebbero non essere a conoscenza dei rischi associati all’installazione di applicazioni senza un’adeguata verifica delle loro origini. La crescente diffusione di Necro Trojan pone un serio interrogativo sulla sicurezza delle applicazioni scaricate, anche da fonti ufficiali.
Origine e diffusione del Necro Trojan
La presenza del **Necro Trojan** è stata notata per la prima volta nel 2019, quando è riuscito a infiltrarsi in app popolari come **CamScanner**, generando oltre **100 milioni di download** sul Google Play Store. Da allora, il malware ha subito varie evoluzioni e si è diffuso tramite diverse applicazioni, rendendo la sua origine e diffusione un tema cruciale per la sicurezza informatica.
I ricercatori di Kaspersky hanno scoperto che la recenti varianti del malware sono state veicolate attraverso un SDK pubblicitario chiamato **Coral SDK**. Quest’ultimo ha messo in atto tecniche di **offuscamento** per mascherare le sue vere intenzioni, utilizzando anche la **steganografia** per caricare payload dannosi, camuffati da immagini PNG. Questo approccio rende più difficile l’identificazione del codice malevolo da parte degli utenti e dei sistemi di sicurezza.
Oltre alle applicazioni presenti nel Google Play Store, il Necro Trojan si è anche diffuso attraverso versioni modificate di software popolari distribuiti su canali non ufficiali. I ricercatori hanno identificato app come **GBWhatsApp**, **FMWhatsApp** e **Spotify Plus**, che promettono funzionalità migliorate o accesso gratuito a servizi premium, ma che in realtà contengono il malware. Anche mod di giochi noti, come **Minecraft**, sono stati utilizzati come veicolo per la diffusione di Necro Trojan.
La capillare diffusione di questo malware dimostra una strategia ben pianificata da parte degli aggressori, che sfruttano la fiducia degli utenti verso applicazioni conosciute. Questo rappresenta una chiara allerta non solo per gli utenti, ma anche per gli sviluppatori e i fornitori di servizi, che devono intensificare le misure di sicurezza per prevenire la compromissione delle loro applicazioni.
Modalità di compromissione delle applicazioni
Le modalità di compromissione delle applicazioni da parte del **Necro Trojan** sono complesse e sfruttano vulnerabilità nei sistemi di distribuzione delle applicazioni. Recentemente, Kaspersky ha identificato come la prima linea d’attacco sia rappresentata da SDK pubblicitari compromessi, in particolare il **Coral SDK**, utilizzato per monetizzare le app tramite pubblicità. Questo SDK è stato progettato per mascherare le sue vere intenzioni, impiegando tecniche di **offuscamento** e **steganografia** per nascondere attività malevole dietro a comportamenti apparentemente normali.
Un esempio di tale offuscamento è rappresentato dall’uso di immagini PNG per scaricare payload come **shellPlugin**, rendendo così difficile la rilevazione del malware. Questi payload possono poi installare vari plugin dannosi che aiutano nella raccolta di dati, favorendo l’installazione di altre applicazioni non autorizzate e creando finestre **WebView invisibili** per intercettare informazioni sensibili degli utenti.
La compromissione avviene anche attraverso applicazioni scaricate da fonti non ufficiali, dove le varianti del Necro Trojan sono integrate in versioni modificate di software popolari. Le app come **GBWhatsApp** e **Spotify Plus** sono esempi di come i malintenzionati sfruttano la credulità degli utenti offrendo “miglioramenti” o accessi gratuiti a servizi premium, mentre in realtà infettano i dispositivi con malware.
Questo tipo di attacco non si limita a una sola app, ma può diffondersi attraverso una rete di applicazioni compromesse che, man mano che vengono installate dagli utenti, contribuiscono a un ciclo di infezione e sfruttamento. Ogni nuova installazione crea quindi opportunità per il malware di attivarsi e compiere azioni dannose in background, senza che l’utente ne sia consapevole.
Rischi per gli utenti e precauzioni da adottare
La minaccia rappresentata dal **Necro Trojan** per i dispositivi Android è grave e può avere conseguenze significative per la privacy e la sicurezza degli utenti. Tra i **rischi principali** vi sono l’installazione non autorizzata di software malevolo, la visualizzazione di pubblicità invasive e la possibile esposizione di informazioni personali, inclusi dati di pagamento. Gli utenti potrebbero ritrovarsi a subire frodi di abbonamento senza averne consapevolezza, grazie all’uso di finestre **WebView invisibili** progettate per raccogliere informazioni sensibili senza il consenso degli utenti.
Inoltre, il **Necro Trojan** ha il potenziale di trasformare i dispositivi compromessi in **proxy** per traffico malevolo, contribuendo così a campagne di pubblicità ingannevole e altre attività illecite online. La capacità del malware di installare ulteriori payload aumenta esponenzialmente i rischi, rendendo difficile per gli utenti identificare e mitigare le minacce già presenti nei propri dispositivi.
Per proteggersi da tali minacce, gli utenti sono incoraggiati a seguire alcune **precauzioni fondamentali**:
- Scaricare solo da fonti ufficiali: È cruciale limitare il download di applicazioni al Google Play Store e ad altri store autorizzati, evitando canali non ufficiali o versioni modificate delle app.
- Controllare le recensioni: Prima di installare un’app, verificare le recensioni e la reputazione dello sviluppatore per accertarsi che sia legittima.
- Aggiornare regolarmente il dispositivo: Mantenere il sistema operativo e le applicazioni aggiornate per sfruttare le ultime patch di sicurezza.
- Usare un software di sicurezza: Considerare l’installazione di un’app di sicurezza affidabile in grado di rilevare e rimuovere malware.
- Prestare attenzione ai permessi: Controllare i permessi richiesti dalle applicazioni durante l’installazione, evitando quelle che richiedono accessi eccessivi o non necessari.
Seguendo queste raccomandazioni, gli utenti possono ridurre il rischio di compromissioni legate al **Necro Trojan** e contribuire alla salvaguardia della propria privacy e sicurezza online.
Rimozione e alternative sicure per gli utenti colpiti
Per gli utenti che sospettano di essere stati compromessi dal **Necro Trojan**, è fondamentale agire prontamente per rimuovere il malware e salvaguardare la propria privacy. La prima raccomandazione è quella di disinstallare immediatamente qualsiasi applicazione sospetta associata a Necro Trojan, come **Wuta Camera** e **Max Browser**. Anche se Wuta Camera ha ricevuto un aggiornamento che elimina il malware, le versioni precedenti possono ancora contenere payload pericolosi attivi.
La rimozione di un’app compromessa è un passo cruciale, ma non basta. Si consiglia di eseguire una scansione completa del dispositivo utilizzando un software di sicurezza affidabile in grado di rilevare minacce e malware. Esistono diversi antivirus e strumenti di sicurezza disponibili nel Google Play Store che possono aiutare a identificare e rimuovere il Trojan e altre potenziali minacce.
Se gli utenti hanno scaricato versioni modificate di app popolari da fonti non ufficiali, è consigliabile reinstallare le versioni originali delle applicazioni direttamente dal **Google Play Store**. Ad esempio, è possibile trovare versioni sicure di applicazioni come WhatsApp o Spotify, evitando nel contempo varianti come **GBWhatsApp** o **Spotify Plus**, che sono veicoli noti per la diffusione di malware.
Aggiungendo un ulteriore livello di protezione, gli utenti possono considerare l’adozione di misure supplementari come:
- Attivare l’autenticazione a due fattori: Dove possibile, abilitare l’autenticazione a due fattori per le applicazioni e i servizi online per una maggiore sicurezza.
- Effettuare backup regolari: Mantenere copie di backup dei dati importanti in modo da poter ripristinare le informazioni in caso di compromissioni.
- Monitorare le transazioni finanziarie: Tenere d’occhio i resoconti bancari per eventuali addebiti non autorizzati e segnalare prontamente qualsiasi attività sospetta.
Seguendo questi passaggi, gli utenti possono minimizzare i rischi legati a Necro Trojan e trovare alternative sicure alle applicazioni compromesse, garantendo un’esperienza digitale più sicura e protetta.
