Pesquisadores de segurança cibernética descobriram uma nova versão do malware Necro escondida em aplicativos populares de câmera e navegador na Google Play Store. Esses aplicativos, que foram baixados milhões de vezes, estavam comprometidos com uma versão atualizada do Necro, um carregador de malware que já havia sido encontrado anteriormente em outros apps do Android.
Dois dos aplicativos afetados incluem o Wuta Camera – Nice Shot Always, com mais de 10 milhões de downloads, e o *Max Browser-Private & Security*, que foi baixado mais de 1 milhão de vezes antes de ser removido da Play Store. Embora o Max Browser não esteja mais disponível, o Wuta Camera foi atualizado para remover o malware, com a versão mais recente sendo lançada em 8 de setembro de 2024.
Ainda não está totalmente claro como esses aplicativos foram comprometidos, mas acredita-se que o problema possa estar relacionado a um kit de desenvolvimento de software (SDK) malicioso usado para integrar recursos de publicidade. O Necro, descoberto pela primeira vez em 2019, já havia sido utilizado em outro aplicativo popular, o CamScanner, onde foi descoberto um módulo publicitário malicioso fornecido por um terceiro.
Essa nova versão do Necro utiliza técnicas sofisticadas de ofuscação para evitar ser detectada, incluindo esteganografia, uma técnica que esconde o código malicioso em arquivos de imagem PNG. Uma vez instalado, o malware é capaz de exibir anúncios invisíveis, executar arquivos arbitrários e até inscrever o dispositivo infectado em serviços pagos sem o consentimento do usuário.
A ameaça se espalha principalmente através de versões modificadas de aplicativos populares, hospedadas em sites e lojas de apps não oficiais. O malware é baixado e ativado por um módulo chamado Coral SDK, que se comunica com servidores remotos para baixar a carga maliciosa escondida em arquivos de imagem.