نسخه جدید لودر چند مرحلهای Necro اپلیکیشنهای محبوب Snaptube و CamScanner را در Google Play و نسخههای تغییر یافته Spotify، Minecraft، WhatsApp و سایر اپلیکیشنهای اندرویدی mod شده را در منابع غیر رسمی آلوده کرد.
نسخه جدید Necro loader مانند بسیاری از payloadهایی که دانلود میکند، شروع به استفاده از مبهمسازی برای فرار از تشخیص کرده است. لودر تعبیه شده در برخی از برنامهها، از تکنیکهای استگانوگرافی برای پنهان کردن payloadsها استفاده میکرد. Necro چندین payload را روی دستگاههای آلوده نصب میکند و پلاگینهای مخرب مختلفی از جمله موارد زیر را فعال میسازد:
- ابزارهای تبلیغاتی مزاحم که لینکها را از طریق پنجرههای WebView نامرئی بارگیری میکند. (Island plugin, Cube SDK)
- ماژولهایی که فایلهای جاوا اسکریپت و DEX دلخواه را دانلود و اجرا میکنند. (Happy SDK، Jar SDK)
- ابزارهایی که به طور خاص برای تسهیل کلاهبرداری از اشتراک طراحی شدهاند. (Web plugin, Happy SDK, Tap plugin)
- مکانیسمهایی که از دستگاههای آلوده به عنوان پراکسی جهت مسیریابی ترافیک مخرب استفاده میکنند. (NProxy plugin)
payloadهای دانلود شده دارای قابلیتهایی از جمله موارد زیر هستند:
- باز کردن لینکهای دلخواه در پنجرههای WebView نامرئی
- نمایش تبلیغات در پنجرههای نامرئی و تعامل با آنها
- دانلود و اجرای فایلهای DEX دلخواه
- نصب برنامههای دانلود شده و اجرای هر کد جاوا اسکریپت در آنها
- اجرای یک تونل از طریق دستگاه قربانی
https://securelist.com/necro-trojan-is-back-on-google-play/113881/
