Necro-malware besmette meer dan 11 miljoen Android-toestellen
Beveiligingsonderzoekers van Kaspersky laten weten dat er opnieuw malware voor Android-telefoons in omloop is. ‘Necro’, zoals de malware heet, is een trojaans paard dat ongemerkt op telefoons probeert binnen te dringen. Het virus kan opgelopen worden via bepaalde apps uit de Play Store te installeren, maar ook door alternatieve versies van populaire apps te sideloaden. De beveiligingsfirma schat dat er minstens 11 miljoen toestellen getroffen zijn, maar het kunnen er ook meer zijn.
Oud virus, nieuwe truken
De malware werd voor het eerst gesignaleerd in 2019, maar steekt nu opnieuw de kop op. Deze keer kreeg Necro een aantal aanpassing die detectie moeilijker maken, zodat het virus ongemerkt zijn gang kan gaan. Onderzoek van Kaspersky wijst uit dat de malafide software verstopt zat in twee apps in de Google Play Store: een fotobewerkingsapp met de naam Wuta Camera en de zogenaamde Max Browser. Hoewel Google de Play Store regelmatig opschoont en apps met slechte bedoelingen weghaalt, werden de applicaties op 11 miljoen apparaten geïnstalleerd. De Max Browser werd inmiddels uit de Play Store gehaald, en Wuta Camera kwam met een nieuwe, virusvrije versie. Indien je die app geïnstalleerd hebt, werk je hem daarom best zo snel mogelijk bij naar versie 6.3.7.138.
Wellicht zijn nog veel meer gebruikers getroffen door het virus: het schuilt namelijk ook in apps die je kan sideloaden, en die dus niet in de Google Play Store staan. Voor die apps zijn geen gebruikersaantallen beschikbaar, wat het moeilijk maakt om de verspreiding van Necro in te schatten. Volgens Kaspersky circuleren er besmette versies van WhatsApp en Spotify. Die versies beweren extra functies te bieden, of zou bijvoorbeeld de betalende versie van Spotify ontgrendelen, zonder dat je er een cent voor neerlegt. Ook populaire spelletjes zijn slachtoffer. Onder andere van Minecraft, Stumble Guys en Car Parking Multiplayer circuleren besmette versies op het internet.
Risico’s
Zodra je één van die apps installeert, maakt die contact met een ‘command and control’- of C2-server. Die stuurt je naar een website of haalt één of andere afbeelding binnen. Aanvankelijk lijkt daar niets mee aan de hand, maar de cybercriminelen gebruiken een speciale techniek om hun activiteiten te verbergen: steganografie. Daarbij wordt kwaadaardige code verstopt in mediabestanden en andere soorten berichten. Als die succesvol wordt uigelezen, kan de malware ongevraagd code uitvoeren, apps installeren en internetverkeer langs een toestel sturen. De criminelen die achter de malware zitten, verdienen er geld aan door onzichtbare advertenties op je toestel te tonen. In het ergste geval kan de Necro-malware zelfs abonnementen aangaan, zodat de cybercriminelen op regelmatige basis kunnen cashen.
Jezelf beschermen
Heb je zo’n malwarepakket op je toestel staan? Dan werkt het daardoor wellicht wat trager. De beste manier om jezelf te beschermen tegen malware als dit, is door kritisch te zijn over welke apps je installeert. Necro toont namelijk aan dat ook veelgebruikte apps uit de Google Play Store geïnfecteerd kunnen zijn. In de Google Play Store ben je dan nog relatief veilig. Gemodificeerde of ontgrendelde versies van apps, die je van het internet installeert, zitten vaak vol virussen, aldus Kasperksy. Van die aangepaste applicaties blijf je dus best weg.
