Cyber Viral Invasion
Cyber Viral Invasion
Bildquelle: stockcake

Necro Android-Trojaner infizierte 11 Millionen Geräte

Der Necro Trojaner für Android-Geräte hat nach über fünf Jahren erneut zugeschlagen. Diesmal statt auf 100 "nur" auf 11 Millionen Geräten.

Der Necro Trojaner versteckt sich derzeit im Google Play Store und alternativen App-Stores in verschiedenen nachgemachten Apps. So beispielsweise in der App von Spotify Plus, WhatsApp und in den Spielen Minecraft, Stumble Guys und Car Parking Multiplayer. Laut Kaspersky Lab hat Necro bisher mindestens elf Millionen Geräte weltweit befallen. Betroffen sind vor allem Nutzer in der DACH-Region, Russland, Vietnam und Brasilien.

Die Malware Necro ist nach fünf Jahren Pause zurück

Kaspersky Lab hat einen neuen Trojaner entdeckt, der mindestens elf Millionen Android-Smartphones oder Tablet-PCs weltweit infiziert hat. Die neue Version des Necro-Trojaners entdeckte man sowohl im offiziellen App Store als auch auf inoffiziellen App-Plattformen. Der Trojaner ist dazu in der Lage, weitere Apps von Drittanbietern zu installieren. Zudem dürfte er auch kostenpflichtige Abos abschließen können. Betroffen sind auch zahllose Nutzer in Deutschland, Österreich und der Schweiz, doch der Trojaner agiert länderübergreifend.

Necro, Spotify Plus
Necro in der App Spotify Plus.

Schadsoftware mit vielen unterschiedlichen Funktionen

Im August 2019 entdeckte man Infektionen durch Necro auf über 100 Millionen Android-Geräten. Die von Kaspersky-Experten entdeckte neue Variante des Trojaners können Cyberkriminelle vielfach nutzen. Die Schadsoftware kann Module auf Smartphones herunterladen, wodurch die Angreifer mit dem infizierten Gerät unterschiedliche Ressourcen besuchen und es möglicherweise in ein Proxy-Botnetz integrieren können.

Weiterhin ist der Trojaner dazu in der Lage Werbung in unsichtbaren Fenstern anzuzeigen. Damit können Unbekannte ohne zusätzlichen Aufwand Werbeeinahmen generieren. Doch die Malware kann zudem ausführbare Dateien herunterzuladen, ungewollt weitere Apps installieren und beliebige Links in unsichtbaren WebView-Fenstern öffnen, um einen JavaScript-Code auszuführen.

Wuta Camera, Necro, Malware
Die Malware versteckte sich auch in Kamera-Apps.

Basierend auf seinen technischen Funktionen dürfte der Trojaner Nutzer für kostenpflichtige Dienste registrieren können. Darüber hinaus ermöglichen die heruntergeladenen Module Angreifern, den Internetverkehr über das Gerät des Opfers umzuleiten.

Man entdecke die Schadsoftware erstmals in einer modifizierten Version von Spotify Plus. Die App-Entwickler behaupteten, dass diese Version sicher sei und zusätzliche Funktionen biete, die in der offiziellen Musik-Streaming-App nicht zu finden seien. Kurz darauf fanden die Experten von Kaspersky modifizierte Versionen von WhatsApp, Minecraft, Stumble Guys und Car Parking Multiplayer. Necro wurde über ein nicht verifiziertes Werbemodul in diese Anwendungen eingebettet. Die Cyberkriminellen nutzten bei ihrem fragwürdigen „Angebot“ den Bedarf an Apps aus, die ihren Nutzern zusätzliche Funktionen zur Verfügung stellen sollen.

Google hat bereits den Code bereinigt

Weiterhin fand man den Trojaner Necro auch in Google Play in den Apps Wuta Camera und Max Browser. Laut Google-Play-Statistik kommen diese Apps zusammen auf über elf Millionen Downloads. Zudem wurde Necro über ein nicht verifiziertes Werbemodul verbreitet. Nach der Meldung von Kaspersky an Google hat man den Schadcode aus Wuta Camera entfernt. Google hat zudem den Max Browser komplett aus dem Store genommen.

Der Cybersicherheitsexperte Dmitry Kalinin bemerkte, dass Cyberkriminelle häufig Malware über inoffzielle App Stores verbreiten, da man die Apps nicht genauer untersucht. Laut Kalinin sei es bemerkenswert, dass die in diese Anwendungen eingebettete Version von Necro Steganografie-Techniken verwendete, bei denen man die Nutzlast in Bildern versteckt hat, um unentdeckt zu bleiben. Dies ist bei mobiler Schadsoftware eine sehr seltene aber nicht minder effektive Methode.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.