{"id":31661,"date":"2024-09-26T16:22:01","date_gmt":"2024-09-26T14:22:01","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31661"},"modified":"2024-09-26T16:22:01","modified_gmt":"2024-09-26T14:22:01","slug":"necro-infects-android-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/necro-infects-android-users\/31661\/","title":{"rendered":"11 Millionen betroffene Benutzer: Der Android-Trojaner Necro erwacht zu neuem Leben"},"content":{"rendered":"

Wir von Kaspersky\u00a0Daily mahnen<\/a> die Leserschaft unseres Blogs regelm\u00e4\u00dfig, beim Herunterladen von Inhalten auf ihre Ger\u00e4te sehr umsichtig zu sein. Immerhin ist auch Google\u00a0Play nicht immer immun gegen Schadsoftware<\/a> \u2013 von den inoffiziellen Downloadquellen f\u00fcr Mods und gehackte App-Versionen mal ganz zu schweigen. Trojaner und Viren geh\u00f6ren mittlerweile leider zum digitalen Alltag und stellen eine permanente Gefahr f\u00fcr Ger\u00e4te dar, die nicht \u00fcber ausreichend Schutzmechanismen<\/a>\u00a0verf\u00fcgen.<\/p>\n

In diesem Artikel kl\u00e4ren wir auf, wie weltweit 11\u00a0Millionen Nutzer von Android-Ger\u00e4ten m\u00f6glicherweise zu Opfern des Necro-Trojaners wurden. Wir erkl\u00e4ren au\u00dferdem, in welchen Apps wir den Trojaner gefunden haben und wie Sie sich vor ihm sch\u00fctzen k\u00f6nnen.<\/p>\n

Was ist Necro?<\/h2>\n

Unsere regelm\u00e4\u00dfige Leserschaft erinnert sich vielleicht daran, dass wir bereits im Jahr\u00a02019 zum ersten Mal \u00fcber Necro berichtet<\/a> haben. Damals entdeckten unsere Experten einen Trojaner in einer Texterkennungs-App namens CamScanner, die es bei Google\u00a0Play auf \u00fcber 100\u00a0Millionen Downloads geschafft hatte. Aktuell scheint es so, als h\u00e4tten Angreifer den alten Trojaner erneut f\u00fcr sich entdeckt und kurzerhand wiederbelebt: So konnten wir eine funktionsreichere Version des Trojaners sowohl in beliebten Apps auf Google\u00a0Play als auch in verschiedenen App-Modifikationen, die auf inoffiziellen Websites angeboten werden, ausmachen. H\u00f6chstwahrscheinlich haben die Entwickler dieser Apps ein nicht verifiziertes Tool zur Integration von Werbung verwendet, \u00fcber das Necro den Code infiltrieren konnte.<\/p>\n

In seiner aktuellen Version stellt Necro einen Loader<\/a> dar, der von seinen Entwicklern zus\u00e4tzlich verschleiert<\/a> wurde, um nicht entdeckt zu werden (aufgesp\u00fcrt haben wir ihn dennoch). Die eigentlich sch\u00e4dliche Payload wird ebenfalls auf raffinierte Weise heruntergeladen: So wird ein Steganographie<\/a>-Verfahren angewendet, um den Code in einem scheinbar harmlosen Bild zu verstecken.<\/p>\n

Die vom Trojaner heruntergeladenen b\u00f6sartigen Module sind in der Lage, beliebige Dateien im DEX<\/a>-Format (kompilierter Code f\u00fcr Android) zu laden und auszuf\u00fchren, heruntergeladene Apps zu installieren, das Ger\u00e4t des Opfers zu tunneln und theoretisch sogar kostenpflichtige Abonnements abzuschlie\u00dfen. Dar\u00fcber hinaus k\u00f6nnen sie Werbung in unsichtbaren Fenstern anzeigen und mit ihr interagieren, willk\u00fcrliche Links \u00f6ffnen und beliebigen JavaScript-Code ausf\u00fchren.<\/p>\n

In unserem Securelist-Blog<\/a> findest du einen detaillierten Artikel zum Aufbau und zur Funktionsweise von Necro.<\/p>\n

Hier h\u00e4lt sich Necro versteckt<\/h2>\n

Wir fanden Spuren der Malware in einer inoffiziellen modifizierten Version von Spotify, in der Bildbearbeitungs-App Wuta\u00a0Camera, im Max\u00a0Browser und in diversen Mods f\u00fcr WhatsApp und beliebte Spiele (einschlie\u00dflich Minecraft).<\/p>\n

Modifiziertes Spotify<\/h3>\n

Gleich zu Beginn unserer Untersuchung wurden wir auf eine ungew\u00f6hnliche Modifikation der App von Spotify\u00a0Plus aufmerksam. Die Benutzer wurden dazu verleitet, eine neue Version ihrer Lieblings-App aus einer inoffiziellen Quelle herunterzuladen. Diese versprach kostenlos zu sein und \u00fcber ein freigeschaltetes Abonnement zu verf\u00fcgen, das den Benutzern ein unbegrenztes Online- und Offline-H\u00f6rvergn\u00fcgen erm\u00f6glichen sollte. Garniert wurde das Ganze mit einer sch\u00f6nen gr\u00fcnen Schaltfl\u00e4che, die zum Herunterladen der Spotify-APK<\/em> einlud. Doch Vorsicht! Hier handelte es sich um Malware. Achten Sie nicht auf die offiziell aussehenden Siegel und Badges \u00e0\u00a0la Gepr\u00fcfte\u00a0Sicherheit<\/em> und Offiziell\u00a0zertifiziert<\/em>\u00a0\u2013 diese App richtet Schaden an.<\/p>\n

\"Es<\/a>

Es stehen sogar \u00e4ltere Versionen der App-Mod zur Auswahl. Ob diese auch mit Necro oder anderen Trojanern verseucht sind?<\/p><\/div>\n

\u00a0<\/p>\n

Nach dem Start dieser App sendete der Trojaner Informationen \u00fcber das infizierte Ger\u00e4t an den C2-Server der Angreifer und erhielt als Antwort den Download-Link eines PNG-Bildes. In diesem Bild versteckte sich\u00a0\u2013 gut getarnt dank Steganographie\u00a0\u2013 die sch\u00e4dliche Payload<\/a>.<\/p>\n

Apps aus Google\u00a0Play<\/h3>\n

W\u00e4hrend die modifizierte Version von Spotify \u00fcber inoffizielle Kan\u00e4le Verbreitung fand, schaffte es die ebenfalls mit Necro infizierte App Wuta\u00a0Camera zu Google\u00a0Play, wo sie mehr als 10\u00a0Millionen Mal heruntergeladen wurde. Unseren Daten zu Folge ist der Necro-Loader in der App von Wuta\u00a0Camera ab Version\u00a06.3.2.148 zu finden. Beginnend mit Version\u00a06.3.7.138 ist die App wieder sauber. Wenn Sie eine niedrigere Version der App verwenden, sollten Sie diese also dringend aktualisieren.<\/p>\n

\"Selbst<\/a>

Selbst beeindruckende Downloadzahlen und massig positive Bewertungen sind kein Garant f\u00fcr Schutz gegen maskierte Trojaner.<\/p><\/div>\n

\u00a0<\/p>\n

Der Max\u00a0Browser hingegen ist weit weniger verbreitet und schafft es \u201enur\u201c auf eine\u00a0Million Benutzer. Necro hat den App-Code des Browsers in Version\u00a01.2.0 infiltriert. Die App wurde zwar nach unserer Benachrichtigung aus Google\u00a0Play entfernt, ist aber nach wie vor auf Ressourcen von Drittanbietern verf\u00fcgbar. Aber diesen sollte man am besten \u00fcberhaupt nicht vertrauen, da dort m\u00f6glicherweise Versionen des Browsers angeboten werden, die noch weit mehr sch\u00e4dliche Malware mit sich f\u00fchren.<\/p>\n

Modifikationen f\u00fcr WhatsApp, Minecraft und andere beliebte Apps<\/h3>\n

F\u00fcr beliebte Messenger-Clients existieren nicht selten alternative Versionen, die in der Regel \u00fcber mehr Funktionen als ihre offiziellen Cousins verf\u00fcgen. Allerdings tut man gut daran, s\u00e4mtliche Mods\u00a0\u2013 seien sie von Google\u00a0Play oder von der Website eines Drittanbieters\u00a0\u2013 mit einer geh\u00f6rigen Portion Skepsis zu begegnen<\/a>. H\u00e4ufig werden diese kostenlosen Erweiterungen dazu verwendet, um Trojaner zu verbreiten<\/a>.<\/p>\n

So konnten wir beispielsweise neben Mods f\u00fcr WhatsApp, die mitsamt Necro-Loader aus inoffiziellen Quellen verteilt wurden, auch mit dem Trojaner infizierte Mods f\u00fcr Minecraft, Stumble\u00a0Guys, Car\u00a0Parking\u00a0Multiplayer und Melon\u00a0Sandbox ausfindig machen. Und diese Auswahl ist kein Zufall\u00a0\u2013 vielmehr haben Angreifer stets die aktuell beliebtesten Spiele und Apps<\/a> im Visier.<\/p>\n

Wie du dich vor Necro sch\u00fctzen kannst<\/h2>\n

Zun\u00e4chst einmal raten wir nochmals dringend davon ab, Apps aus inoffiziellen Quellen herunterzuladen<\/a>. In solchen F\u00e4llen ist das Risiko einer Infektion des Ger\u00e4ts extrem hoch. Dar\u00fcber hinaus sollte man auch den Apps auf Google\u00a0Play und in anderen offiziellen Stores stets mit einer gesunden Portion Skepsis begegnen. Selbst eine beliebte App wie Wuta\u00a0Camera mit ihren mehr als 10\u00a0Millionen Downloads erwies sich Necro gegen\u00fcber als anf\u00e4llig.<\/p>\n