近日，有研究人員發現在惡意 SDK 供應鏈攻擊中，有黑客通過 Google Play 在 1100 萬臺設備上安裝了新版本的 Necro 惡意安卓載入器。

這種新版 Necro 木馬是通過合法應用程序、安卓游戲 mod 和 Spotify、WhatsApp 和 Minecraft 等流行軟件的修改版所使用的惡意廣告軟件開發工具包 (SDK) 安裝的。

Necro 會在受感染設備上安裝多個有效載荷，并激活各種惡意插件，包括：

• 通過隱形 WebView 窗口加載鏈接的廣告軟件（Island 插件、Cube SDK）
• 下載和執行任意 JavaScript 和 DEX 文件的模塊（Happy SDK、Jar SDK）
• 專為訂閱欺詐提供便利的工具（Web 插件、Happy SDK、Tap 插件）
• 將受感染設備用作代理來路由惡意流量的機制（NProxy 插件）

Google Play 上的 Necro 木馬

卡巴斯基在 Google Play 上的兩個應用程序中發現了 Necro 載入器，這兩個應用程序都擁有大量用戶。

第一個是 “Benqu ”的 Wuta Camera，這是一款照片編輯和美化工具，在 Google Play 上的下載量超過 1000萬次。

Google Play 上的 Wuta 相機應用程序，來源：BleepingComputer

威脅分析師報告稱，Necro是在6.3.2.148版本發布時出現在該應用上的，直到6.3.6.148版本，卡巴斯基才通知谷歌。

雖然該木馬在6.3.7.138版本中被移除，但任何可能通過舊版本安裝的有效載荷仍可能潛伏在安卓設備上。

第二個攜帶 Necro 的合法應用程序是 “WA message recover-wamr ”的 Max Browser，它在 Google Play 上有 100 萬下載量，直到卡巴斯基報告后才被刪除。

卡巴斯基稱，Max Browser的最新版本1.2.0仍攜帶Necro，目前暫沒有安全版本可供升級，建議該瀏覽器的用戶立即卸載，換用其他瀏覽器。

卡巴斯基稱，這兩款應用程序是被一個名為 “Coral SDK ”的廣告SDK感染的，該SDK主要采用混淆技術來隱藏其惡意活動，同時還利用圖像隱寫術來下載第二級有效載荷shellPlugin，并偽裝成無害的PNG圖像。

感染鏈路圖 來源：卡巴斯基

谷歌表示他們知道這些被舉報的應用程序，并正在對其進行調查。

Necro 木馬也通過其他非官方渠道傳播

在 Play Store 之外，Necro 木馬主要通過非官方網站發布的流行應用程序的修改版本（mods）進行傳播。

卡巴斯基發現的著名例子包括 WhatsApp mods “GBWhatsApp ”和 “FMWhatsApp”，它們承諾提供更好的隱私控制和擴展文件共享限制。另一個例子是 Spotify mod “Spotify Plus”，它承諾免費使用無廣告的高級服務。

傳播惡意 Spotify Mod 的網站 來源：卡巴斯基

報告中還提到了感染 Necro 載入器的 Minecraft mod 和其他流行游戲的 mod，如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。

在所有情況下，惡意行為都是在后臺顯示廣告為攻擊者帶來欺詐性收入、未經用戶同意安裝應用程序和 APK，以及使用隱形 WebViews 與付費服務進行交互。

由于非官方的安卓軟件網站不會如實報告下載數量，因此最新一輪 Necro 木馬感染的總數量尚不得而知，但至少有 1100 萬次來自 Google Play。