Nova verzija malvera Nekro za Android instalirana je na 11 miliona uređaja putem Gugl Plej prodavnice.

Nekro je instaliran preko paketa za razvoj zlonamjernog softvera za oglase (SDK) koji koriste legitimne aplikacije, modovi za Android igre i modifikovane verzije popularnog softvera, kao što su Spotifaj, Vocap i Majnkraft, upozorila je kompanija Kasperski.

Kasperski je otkrio malver Nekro u dvije aplikacije na Gugl Plej, od kojih obje imaju značajan broj korisnika.

Prva je Vuta kamera aplikacija za uređivanje i uljepšavanje fotografija sa više od deset miliona preuzimanja na Gugl Plej. Nekro se pojavio u aplikaciji sa izdanjem verzije 6.3.2.148, i ostao u njoj do verzije 6.3.6.148, kada je Kasperski obavijestio Gugl o tome. Iako je trojanac uklonjen u verziji 6.3.7.138, sve što je možda bilo instalirano preko starijih verzija možda je i dalje na Android uređajima.

Druga aplikacija u kojoj je otkriven Nekro je Maks Brovser, koja je imala milion preuzimanja na Gugl Plej dok nije uklonjena, nakon izvještaja kompanije Kasperski. Međutim, napominje se da najnovija verzija Mak Brovsera, 1.2.0, i dalje sadrži Nekro, tako da ne postoji čista verzija za nadogradnju, a korisnicima se preporučuje da je odmah deinstaliraju i pređu na drugi pretraživač.

Kasperski kaže da su dvije aplikacije zaražene SDK-om pod nazivom “Koral SDK”.

Izvan Plej prodavnice, Nekro se širi prvenstveno preko modifikovanih verzija popularnih aplikacija (modova) koje su distribuirane preko nezvaničnih veb sajtova, kao što su Vocap modovi “GBVocap ” i “FMVocap “, koji obećavaju bolje kontrole privatnosti i manja ograničenja dijeljenja fajlova.

Drugi je Spotifaj mod, “Spotifaj Plus”, koji obećava besplatan pristup premijum uslugama bez oglasa. Kasperski takođe pominje Majnkraft modove i modove za druge popularne igre poput Stumble Gajs, Kar Parking Multiplejer i Melon Sandboks, koji su zaražene Nekro loaderom.

U svim slučajevima, problemi su bili isti – prikazivanje oglasa u pozadini od kojih zarađuju napadači, instaliranje aplikacija i APK-ova bez saglasnosti korisnika i korišćenje nevidljivih vebVjua za interakciju sa servisima koji se plaćaju.

Kako nezvanične prodavnice Android aplikacija ne izvještavaju pouzdano o broju preuzimanja, ukupan broj infekcija novom verzijom trojanca Nekro nije poznat, prenosi b92.

Izvor: Srpska info