Il panorama delle minacce informatiche è in costante evoluzione; nuove varianti di malware emergono regolarmente per sfruttare le vulnerabilità dei sistemi e degli utilizzatori. Uno degli ultimi esempi è il ritorno del Necro Trojan. Si tratta di un malware che ha recentemente fatto notizia per aver infettato milioni di dispositivi Android attraverso canali di distribuzione sia ufficiali che non ufficiali. Ma cosa è il malware Necro Trojan, quali sono le sue capacità e metodi di diffusione; e soprattutto quali sono le implicazioni per la sicurezza degli utilizzatori Android.
Origini e evoluzione del Necro Trojan
Il Necro Trojan non è un nuovo arrivato sulla scena del malware. La sua prima apparizione risale al 2019, quando fu scoperto nascosto all’interno di CamScanner; un’applicazione ampiamente utilizzata per la scansione e l’elaborazione di documenti disponibile su Google Play. All’epoca della scoperta, CamScanner era stata scaricata su oltre 100 milioni di dispositivi in tutto il mondo. Questa prima incarnazione del Necro Trojan ha dimostrato la capacità dei suoi creatori di infiltrarsi in applicazioni legittime e ampiamente utilizzate; ponendo le basi per future campagne di infezione.
La nuova ondata di infezioni
La recente ricomparsa del Necro Trojan ha dimostrato che i suoi sviluppatori hanno affinato e ampliato le sue capacità. Secondo i ricercatori di sicurezza di Kaspersky, questa nuova versione del malware ha infettato varie applicazioni popolari; tra queste, mod di giochi e alcune applicazioni disponibili su Google Play. La portata della nuova ondata di infezioni è significativa; si stima che solo le applicazioni infette su Google Play abbiano raggiunto un pubblico combinato di oltre 11 milioni di dispositivi Android.
Metodi di distribuzione e tecniche di occultamento del Necro Trojan
Ciò che rende particolarmente insidiosa questa nuova variante del Necro Trojan è la sua capacità di sfruttare molteplici vettori di distribuzione. Il malware si è diffuso attraverso due canali principali. Un canale riguarda le applicazioni legittime su Google Play. Due applicazioni in particolare sono state identificate come veicoli per il Necro Trojan. La prima, Wuta Camera, un’app di editing fotografico e abbellimento; ha accumulato oltre 10 milioni di download. La seconda, Max Browser, aveva raggiunto 1 milione di download prima di essere rimossa dallo store.
Un altro canale lo rappresentano le versioni modificate di applicazioni popolari. Il Necro Trojan ha anche infiltrato mod non ufficiali di applicazioni ampiamente utilizzate come Spotify, WhatsApp e Minecraft. Queste versioni modificate (apk), distribuite attraverso fonti non ufficiali, promettevano funzionalità aggiuntive o accesso gratuito a servizi premium, attirando gli utenti ignari dei rischi associati.
Gli sviluppatori del Necro Trojan hanno implementato tecniche sofisticate per eludere il rilevamento e garantire la persistenza sui dispositivi infetti. Il malware utilizza l’offuscamento del codice per nascondere le sue attività maligne. In alcuni casi, impiega anche tecniche di steganografia per nascondere i payload all’interno di immagini apparentemente innocue. Questa strategia multi-stadio rende il Necro Trojan particolarmente difficile da rilevare e rimuovere.
Capacità e impatto
Una volta installato su un dispositivo, il Necro Trojan è in grado di eseguire una vasta gamma di attività dannose. Queste includono:
- Visualizzazione di annunci in finestre invisibili e interazione con essi, generando entrate fraudolente per gli attaccanti
- Download ed esecuzione di file DEX arbitrari, permettendo l’installazione di ulteriore malware
- Installazione di applicazioni senza il consenso dell’utente
- Apertura di link arbitrari in finestre WebView invisibili ed esecuzione di codice JavaScript
- Creazione di un tunnel attraverso il dispositivo della vittima, potenzialmente utilizzandolo come proxy per attività maligne
- Potenziale sottoscrizione a servizi a pagamento senza il consenso dell’utente
L’impatto di queste attività può variare dal consumo eccessivo di dati e batteria alla compromissione della privacy e potenziali perdite finanziarie.
I dati raccolti da Kaspersky indicano che il Necro Trojan ha avuto un impatto globale, con una concentrazione particolare in alcuni paesi. Russia, Brasile e Vietnam hanno registrato il maggior numero di attacchi, seguiti da Ecuador e Messico. Questa distribuzione geografica suggerisce che gli attaccanti potrebbero aver mirato a mercati specifici o che determinate applicazioni infette abbiano goduto di maggiore popolarità in queste regioni.
Implicazioni per la sicurezza degli app store e misure di protezione
La presenza del Necro Trojan in applicazioni distribuite attraverso Google Play solleva interrogativi sulla sicurezza e l’efficacia dei processi di verifica degli app store ufficiali. Nonostante gli sforzi di Google per migliorare la sicurezza del Play Store, la capacità del malware di infiltrarsi in applicazioni popolari dimostra le sfide continue nel mantenere un ecosistema di app sicuro. Di fronte a questa minaccia, gli utenti Android possono adottare alcune misure per proteggersi.
Si raccomanda di scaricare applicazioni solo da fonti ufficiali e affidabili. Una volta scaricate, è importante aggiornare sia le app che il sistema operativo all’ultima versione; di solito offre maggiore protezione. Disinstallare le applicazioni infette note in questo caso Wuta Camera e Max Browser. Prestare molta attenzione alle autorizzazioni richieste dalle applicazioni durante l’installazione. In più, è sempre consigliabile utilizzare una soluzione di sicurezza affidabile per proteggere il dispositivo. https://play.google.com/store/apps/details?id=com.kms.free
In risposta alla scoperta del Necro Trojan, Google ha dichiarato di essere a conoscenza delle applicazioni segnalate e di star conducendo un’indagine. La rimozione delle applicazioni infette dal Play Store è un primo passo, ma evidenzia la necessità di un approccio più proattivo alla sicurezza delle applicazioni.Per esempio Kaspersky per Android è in grado di rilevare Necro e altri malware simili.
Necro Trojan: conclusioni
Il ritorno del Necro Trojan serve come un forte promemoria della natura in continua evoluzione delle minacce nel panorama della sicurezza mobile. La sua capacità di infiltrarsi in applicazioni legittime e la sua diffusione attraverso canali sia ufficiali che non ufficiali evidenziano la complessità della sicurezza nell’ecosistema Android.
E’ fondamentale che utilizzatori, sviluppatori e piattaforme rimangano vigili e adattivi. La sicurezza mobile richiede un approccio a più livelli, che combini tecnologie avanzate di rilevamento, pratiche di sviluppo sicure e educazione degli utenti.
