據國外媒體 BleepingCompute 表示,一款名為 Necro 的惡意程式載入器,經由惡意 SDK 感染到 APP 中,再利用 Google Play 安裝到 1,100 萬台裝置上。目前發現受感染的 APP 有無他相機和 Max Browser,前者在 6.3.7.138 版中完成修復,但後者由於沒有乾淨的版本,因此遭到 Google Play 下架。
舊版無他相機內藏 Necro 惡意程式
BleepingCompute 指出,新版的 Necro 木馬是通過蘊含惡意程式的 SDK 工具開發的合法應用程式、Android 遊戲模組和修改過的流行 APP (如 Spotify、WhatsApp 和 Minecraft) 進行散佈。
Necro 會在受感染的裝置上安裝各種惡意程式功能,包括:
- 通過隱藏的 WebView 視窗加載連結的廣告軟體 (Island 擴充、Cube SDK)。
- 下載並執行任意 JavaScript 和 DEX 檔的模組 (Happy SDK、Jar SDK)。
- 專門用於促進訂閱欺騙的工具 (Web 擴充、Happy SDK、Tap 擴充)。
- 利用受感染設備作為惡意流量代理 (NProxy 擴充)。
卡巴斯基發現 Google Play 上的無他相機和 Max Browser 內有 Necro 載入器,而這兩款 APP 都擁有大量使用者。Necro 在無他相機版本 6.3.2.148 發佈時潛藏在其中,並且一直到版本 6.3.6.148 都還存在,卡巴斯基當時有通知 Google。雖然該木馬在版本 6.3.7.138 中被刪除,但舊版內的惡意程式可能仍藏在 Android 裝置上,擔心話可以嘗試安裝行動裝置專用的防毒 APP 掃毒看看。
另一款 Max Browser 有 100 萬次下載,但直到最新的 1.2.0 依舊存在惡意程式,因此被 Google Play 下架,若使用者有安裝務必移除。
除了 Google Play 外,Necro 還存在於第三方應用市集或 APP 的非官方修改版上,如 WhatsApp 模組 “GBWhatsApp” 和 “FMWhatsApp”、Spotify 模組 “Spotify Plus” 等。為了安全起見,筆者建議最好不要從官方應用市集外的地方下載 APP,除了一些像行動支付等必要的 APP 以外,盡量不要安裝多餘的 APP,才能降低感染惡意程式的風險。