“Necro” troyanının yeni versiyasının qurbanı “Android” cihazların milyonlarla istifadəçisi ola bilər
Müxtəlif ölkələrdəki istifadəçilər troyanla qarşılaşıblar. “Necro”nun hələ də qeyri-rəsmi platformalarda yayılma ehtimalı var
2024-cü il avqustun sonunda Kaspersky mütəxəssisləri “Google Play”də və qeyri-rəsmi platformalarda bir neçə məşhur proqrama “Necro” zərərli proqramının yeni versiyasının sızdığını aşkar ediblər. Bu, “Android” üçün yükləyicidir və troyanın yaradıcılarının verdiyi əmrlərdən asılı olaraq yoluxmuş smartfona digər zərərli komponentləri yükləyir və işə salır.
Troyan nəyə qadirdir? Kaspersky mütəxəssisləri tərəfindən aşkar edilmiş “Necro” troyan variantı cihazda görünməz pəncərələrdə reklamlar göstərən və yoluxmuş smartfona icra kənar tətbiqlər yükləyən, icra olunan faylları endirən, görünməz pəncərələrdə “WebView”də ixtiyari linkləri açan və orada ixtiyari “JavaScript” kodu yerinə yetirən, həmçinin texniki xüsusiyyətlərə əsaslanaraq, çox güman ki, ödənişli abunəliklərə yazıla bilən zərərli proqramdır. Bundan əlavə, yüklənə bilən modullar təcavüzkarlara qurbanın cihazı vasitəsilə internet trafikini ötürmək imkanı verir. Bu, qurbanın adından təcavüzkarlara ehtiyac duyduqları resurslara, məsələn, qadağan olunmuş məlumatlara daxil olmağa, həmçinin yoluxmuş cihazdan proksi botnetin bir hissəsi kimi istifadə etməyə imkan verir.
Qeyri-rəsmi saytlarda yoluxmuş proqramlar. Kibermütəxəssislərin “Necro”nu gizlədən ilk tapıntısı dəyişdirilmiş “Spotify Plus” oldu. Onun müəllifləri proqramın cihaza zərər vermədiyini və musiqi dinləmək üçün rəsmi proqramda olmayan bir çox əlavə funksiyalara malik olduğunu bildiriblər. Daha sonra ekspertlər həmçinin “Necro” yükləyicisi vasitəsilə “WhatsApp”ın dəyişdirilmiş versiyasını və sonra isə “Minecraft”, “Stumble Guys”, “Car Parking Multiplayer” daxil olmaqla oyunların yoluxmuş modifikasiyalarını aşkar ediblər. “Necro” qeyri-rəsmi reklam proqramı modulunun bir hissəsi kimi tətbiqlərə yol tapıb.
“GooglePlay”də yoluxmuş proqramlar. “Necro” kampaniyası üçüncü tərəflərin saytlarında təkcə yayılmaq ilə kifayətlənməyib. Mütəxəssislər troyanı “Google Play”də də aşkar ediblər. “Wuta Camera” proqramında və “Max Browser” brauzerində də zərərli yükləyici tapılıb. “Google Play”dən verilən məlumata görə, bu proqramların yüklənməsinin ümumi sayı 11 milyonu ötüb. “Necro” da qeyri-rəsmi reklam modulunun bir hissəsi olaraq bu platformada aşkar edilmiş tətbiqlərə daxil edilib.
Kaspersky yoluxmalar barədə “Google”a məlumat verib. Nəticədə zərərli kod “Wuta Camera” proqramından, “Max Browser” proqramı isə mağazadan silinib. Bununla belə, istifadəçilər hələ də qeyri-rəsmi saytlarda “Necro” ilə qarşılaşma riskini ilə üz-üzədirlər.
“İstifadəçilər rəsmi tətbiqlərin məhdudiyyətlərindən yan keçmək istədikdə və ya əlavə pulsuz funksiyalar əldə etmək ümidi ilə qeyri-rəsmi dəyişdirilmiş proqramları yükləyirlər. Təcavüzkarlar isə bundan istifadə edirlər. Üçüncü tərəf saytlarda moderasiya olmadığı üçün onlar tez-tez bu cür proqramlarla birlikdə zərərli proqramları da yayırlar”, Kaspersky-nin kibertəhlükəsizlik üzrə eksperti Dmitri Kalinin bildirir. “Həmçinin maraqlıdır ki, tətbiqlərdə quraşdırılmış “Necro” versiyası steqanoqrafiya fəndlərindən istifadə edib, yəni faydalı yükləməni ört-basdır etmək üçün onu şəklin arxasında gizlədib. Bu, mobil zərərli proqram üçün nadir bir hiylədir”.
Kaspersky-nin təhlükəsizlik həlləri “Necro”dan qoruyur və aşkar edilmiş yükləyicini “Trojan-Downloader.AndroidOS.Necro.f” və “Trojan-Downloader.AndroidOS.Necro.h”, zərərli komponentləri isə “Trojan.AndroidOS.Necro” kimi aşkar edir.
Daha ətraflı: https://securelist.ru/necro-trojan-is-back-on-google-play/110626/.
Bu və digər kibertəhdidlərdən qorunmaq üçün Android cihaz sahiblərinə tövsiyə edirik:
· tətbiqləri yalnız rəsmi mənbələrdən yükləyin;
· əməliyyat sistemini və yüklənmiş proqramları müntəzəm qaydada yeniləyin;
· məhsullarının effektivliyi müstəqil sınaq laboratoriyaları tərəfindən təsdiqlənmiş istehsalçının etibarlı müdafiə həllərindən, məsələn, Android üçün Kaspersky-dən istifadə edin.
