{"id":27720,"date":"2024-09-26T17:25:55","date_gmt":"2024-09-26T23:25:55","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27720"},"modified":"2024-09-26T17:25:55","modified_gmt":"2024-09-26T23:25:55","slug":"necro-infects-android-users","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/necro-infects-android-users\/27720\/","title":{"rendered":"C\u00f3mo el troyano Necro atac\u00f3 a 11 millones de usuarios de Android"},"content":{"rendered":"

En Kaspersky Daily siempre recomendamos<\/a> a los lectores de nuestro blog que presten especial atenci\u00f3n al descargar contenido en sus dispositivos. Despu\u00e9s de todo, ni siquiera Google Play es inmune al malware<\/a>; por lo que mucho menos las fuentes no oficiales con mods y versiones pirateadas. Mientras exista el mundo digital, los troyanos seguir\u00e1n abri\u00e9ndose paso en dispositivos que no tengan una protecci\u00f3n fiable<\/a>.<\/p>\n

Hoy contamos la historia de c\u00f3mo 11 millones de usuarios de Android de todo el mundo podr\u00edan haber acabado siendo v\u00edctimas del troyano Necro. Sigue leyendo para conocer en qu\u00e9 aplicaciones lo hemos encontrado y c\u00f3mo puedes protegerte.<\/p>\n

\u00bfQu\u00e9 es Necro?<\/h2>\n

Nuestros lectores habituales quiz\u00e1 recuerden haber le\u00eddo sobre Necro cuando escribimos<\/a> sobre \u00e9l por primera vez en 2019. En aquel entonces, nuestros expertos descubrieron un troyano en CamScanner, una aplicaci\u00f3n de reconocimiento de texto, que se hab\u00eda descargado m\u00e1s de 100 millones de veces en Google Play. En esta ocasi\u00f3n, los \u201cnecromancers\u201d han inyectado sangre nueva al viejo troyano: hemos encontrado una versi\u00f3n m\u00e1s rica en funciones tanto en aplicaciones populares en Google Play como en varios mods de aplicaciones en sitios no oficiales. Lo m\u00e1s probable es que los desarrolladores de estas aplicaciones emplearan una herramienta para integrar anuncios no verificada, a trav\u00e9s de la cual Necro se infiltr\u00f3 en el c\u00f3digo.<\/p>\n

El Necro actual es un cargador<\/a> ofuscado<\/a> para evitar ser detectado (aunque eso no nos impidi\u00f3 encontrarlo). Descarga la carga maliciosa de una manera no menos astuta, mediante la esteganograf\u00eda<\/a> con el fin de ocultar su c\u00f3digo en una imagen aparentemente inofensiva.<\/p>\n

Y los m\u00f3dulos maliciosos descargados pueden cargar y ejecutar cualquier archivo DEX<\/a> (c\u00f3digo compilado escrito para Android), instalar aplicaciones descargadas, tunelizar el dispositivo de la v\u00edctima e incluso, potencialmente, contratar suscripciones de pago. Adem\u00e1s, pueden mostrar anuncios e interactuar con ellos en ventanas invisibles, as\u00ed como abrir enlaces arbitrarios y ejecutar cualquier c\u00f3digo JavaScript.<\/p>\n

Puedes leer m\u00e1s informaci\u00f3n sobre el dise\u00f1o de Necro y su funcionamiento en nuestro blog Securelist<\/a>.<\/p>\n

D\u00f3nde se esconde Necro<\/h2>\n

Encontramos rastros del malware en una versi\u00f3n de Spotify modificada por usuarios, en la aplicaci\u00f3n de edici\u00f3n de fotograf\u00edas Wuta Camera, en Max Browser y en versiones modificadas tanto de WhatsApp como de juegos populares (incluido Minecraft).<\/p>\n

En un mod de Spotify<\/h3>\n

Al comienzo de nuestra investigaci\u00f3n, nos llam\u00f3 la atenci\u00f3n una modificaci\u00f3n inusual de la aplicaci\u00f3n Spotify Plus. Se invitaba a los usuarios a descargar una nueva versi\u00f3n de su aplicaci\u00f3n favorita desde una fuente no oficial, de forma gratuita y con una suscripci\u00f3n Premium desbloqueada para tener escuchas ilimitadas, tanto con conexi\u00f3n a Internet como sin ella. El llamativo bot\u00f3n verde que dice Download Spotify MOD APK<\/em> parece tentador, \u00bfverdad? \u00a1Espera! Se trata de malware. No puedes fiarte de las supuestas garant\u00edas Security Verified<\/em> y Official Certification<\/em> que aparecen en la p\u00e1gina; esta aplicaci\u00f3n har\u00eda estragos en tu dispositivo.<\/p>\n

\"Anda,<\/a>

Anda, mira\u2026 Hay m\u00e1s versiones de la aplicaci\u00f3n disponibles en la p\u00e1gina. \u00bfIncluir\u00e1n tambi\u00e9n Necro u otros troyanos?<\/p><\/div>\n

Cuando se abr\u00eda esta aplicaci\u00f3n, el troyano enviaba informaci\u00f3n sobre el dispositivo infectado al servidor C2 de los atacantes y, en respuesta, obten\u00eda un enlace para descargar una imagen PNG. La carga maliciosa estaba oculta<\/a> en esta imagen mediante esteganograf\u00eda.<\/p>\n

En aplicaciones en Google Play<\/h3>\n

Mientras que el mod de Spotify se distribu\u00eda a trav\u00e9s de canales no oficiales, la aplicaci\u00f3n Wuta Camera infectada por Necro lleg\u00f3 hasta Google Play, desde donde se descarg\u00f3 m\u00e1s de 10 millones de veces. Seg\u00fan nuestros datos, el cargador de Necro penetr\u00f3 la versi\u00f3n 6.3.2.148 de Wuta Camera, y las versiones limpias empiezan a partir de la 6.3.7.138. Por lo tanto, si tu versi\u00f3n es inferior a esta, tienes que actualizarla de inmediato.<\/p>\n

\"El<\/a>

El impresionante n\u00famero de descargas y las buenas rese\u00f1an encubrieron a un troyano.<\/p><\/div>\n

El p\u00fablico de Max Browser es mucho m\u00e1s peque\u00f1o: solo un mill\u00f3n de usuarios. Necro se infiltr\u00f3 en el c\u00f3digo de su aplicaci\u00f3n en la versi\u00f3n 1.2.0. La aplicaci\u00f3n se elimin\u00f3 de Google Play a ra\u00edz de nuestra notificaci\u00f3n, pero a\u00fan sigue disponible en recursos de terceros. Por supuesto, en dichos recursos deber\u00eda confiar incluso menos, ya que es posible que a\u00fan est\u00e9n disponibles versiones del navegador con el troyano.<\/p>\n

En mods de WhatsApp, Minecraft y otras aplicaciones populares<\/h3>\n

Los clientes alternativos de servicios de mensajer\u00eda instant\u00e1nea generalmente cuentan con m\u00e1s funciones que las versiones oficiales. Pero debes considerar todos los mods, ya sea de Google Play o de un sitio de terceros, como sospechosos<\/a>, ya que a menudo incorporan troyanos<\/a>.<\/p>\n

Por ejemplo, encontramos mods de WhatsApp con el cargador Necro distribuidos desde fuentes no oficiales, as\u00ed como mods de Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox. Y sin duda esta selecci\u00f3n no es casual: los atacantes siempre se fijan en los juegos y aplicaciones m\u00e1s populares<\/a>.<\/p>\n

C\u00f3mo protegerse de Necro<\/h2>\n

En primer lugar, recomendamos encarecidamente no descargar aplicaciones de fuentes no oficiales<\/a>, ya que el riesgo de infecci\u00f3n del dispositivo es extremadamente alto. En segundo lugar, tambi\u00e9n hay que abordar las aplicaciones de Google Play y otras plataformas oficiales con una saludable dosis de escepticismo. Ni siquiera una aplicaci\u00f3n popular como Wuta Camera, con 10 millones de descargas, fue capaz de evitar el ataque de Necro.<\/p>\n