Necro Zararlı Yazılımı Google Play’de 11 Milyon Cihazı Etkiledi

Güvenlik araştırmacıları, Google Play mağazasında bulunan iki uygulamanın Necro adlı bir botnet zararlı yazılımı ile enfekte olduğunu tespit etti. Moskova merkezli güvenlik firması Kaspersky’nin raporuna göre, söz konusu uygulamalar toplamda 11 milyon kez indirildi.

Necro Zararlı Yazılımının Gelişmiş Özellikleri

Necro zararlı yazılımı, bazı varyantlarında steganografi gibi nadiren mobil zararlı yazılımlarda görülen gelişmiş gizleme tekniklerini kullanıyor. Ayrıca, yükseltilmiş sistem ayrıcalıklarıyla çalışabilen kötü amaçlı kod dağıtmak için akıllı bir yöntem benimsiyor. Necro bulaşmış cihazlar, saldırganların kontrol ettiği bir komuta-kontrol sunucusuyla iletişime geçiyor ve her bir enfekte cihaz hakkında şifrelenmiş JSON verilerini içeren web istekleri gönderiyor.

Steganografi Yöntemiyle Gizlenen Zararlı Yükler

Necro, zararlı yükleri bir PNG görüntüsüne gizlemek için basit bir steganografik algoritma kullanıyor. Eğer görüntünün MD5 sağlaması başarılı olursa, Necro kodları görüntünün mavi kanalındaki piksel değerlerini çıkarıyor. Bu piksel değerleri aslında Base64 ile kodlanmış bir JAR dosyasını içeriyor. Necro daha sonra bu JAR dosyasını yükleyip çalıştırıyor.

Modüler Tasarım Sayesinde Çeşitli Eylemler Gerçekleştirebiliyor

Necro’nun modüler tasarımı, zararlı yazılımın çeşitli şekillerde davranmasına olanak tanıyor. Yüklenen zararlı eklentiler, her bir enfekte cihaz için karıştırılıp eşleştirilerek farklı eylemler gerçekleştirebiliyor. Bu eylemler arasında, ayrıcalıklı işlemler gerçekleştirmek, ücretli abonelikler için onay kodları eklemek, saldırganın kontrol ettiği bağlantılardan kod indirip çalıştırmak gibi işlevler yer alıyor.

Etkilenen Uygulamalar ve Kullanıcıların Yapması Gerekenler

Necro zararlı yazılımı, 10 milyon indirmeye sahip Wuta Camera ve yaklaşık 1 milyon indirilen Max Browser uygulamalarında tespit edildi. Wuta Camera uygulaması güncellenip zararlı bileşen kaldırıldı, ancak Max Browser artık Google Play’de bulunmuyor. Necro ayrıca alternatif uygulama mağazalarındaki Spotify, Minecraft, WhatsApp gibi popüler uygulamaların değiştirilmiş versiyonlarını da etkiledi. Kullanıcıların, cihazlarını Kaspersky’nin yayınladığı göstergeler listesine göre kontrol etmeleri öneriliyor.