O malware Necro Trojan infecta milhões de dispositivos Android por meio de dois aplicativos do Google Play

Principais conclusões

  • Foi descoberto que um novo malware está se infiltrando em dispositivos Android por meio de SDKs de publicidade comprometidos.
  • O Necro Trojan foi encontrado em dois aplicativos da Play Store, a saber, Wuta Camera e Max Browser. Ele também foi encontrado em versões modificadas de aplicativos populares como WhatsApp, Minecraft e Spotify.
  • Os dois aplicativos da Play Store sozinhos têm mais de 11 milhões de downloads. Usuários dos aplicativos infectados são aconselhados a desinstalar e executar uma verificação de segurança.




Parece uma prática recorrente agora — escrever sobre malware para Android. “Trojans disfarçados de atualizações do Google Play são as próximas grandes ameaças aos seus dados”, “Um novo malware para Android está esvaziando contas bancárias e limpando dispositivos” e “Novo malware perigoso usa cookies para invadir contas do Google” são apenas algumas das histórias de malware malicioso que relatamos este ano, e uma nova onda de infecções está vindo à tona agora.


Em um relatório da SecureList by Kaspersky, via BleepingComputer, o provedor de antivírus destacou um novo Necro Trojan que tem se infiltrado furtivamente em milhões de dispositivos Android por meio de ataques maliciosos à cadeia de suprimentos de SDKs usando SDKs de publicidade comprometidos.

A presença do malware foi encontrada em dois aplicativos da Play Store, a saber, o Wuta Camera da Benqu e o agora removido Max Browser. O primeiro ostenta mais de 10 milhões de downloads e continha o Necro Trojan da versão 6.3.2.148 (18 de julho) até a versão 6.3.6.148 (20 de agosto).

Este último, o Max Browser, foi baixado mais de 1 milhão de vezes antes de ser removido da Play Store, conforme indicado pelo BleepingComputer, e sua versão mais recente, 1.2.0, ainda abriga o malware.

Em outros lugares, o alcance do Necro também se estende a versões modificadas de aplicativos populares como WhatsApp, Spotify e Minecraft, que normalmente são distribuídos por meio de sites e lojas de aplicativos não oficiais — portanto, seu alcance não pode ser quantificado.


O que o Trojan Necro faz?


A maneira como o Trojan afeta principalmente um dispositivo é instalando nele um adware que carrega sites por meio de janelas invisíveis do WebView, essencialmente arrecadando receita de anúncios para o invasor às suas custas.

O Trojan também pode baixar e executar código arbitrário no dispositivo infectado, facilitar fraudes de assinatura e rotear tráfego malicioso, o que pode dificultar o rastreamento de sua origem.

O BleepingComputer sugere que o Google está ciente do Trojan e dos aplicativos que o hospedam, e está investigando o problema no momento. Para os usuários, isso significa estar ainda mais ciente dos aplicativos que eles baixam. Se você baixou um dos aplicativos infectados, seria prudente desinstalar rapidamente o aplicativo e escanear seu dispositivo com um antivírus confiável. Também seria sensato alterar senhas importantes, mesmo que não pareça que o Trojan estava comprometendo contas de usuários.


O recurso Play Protect da Play Store, que essencialmente executa uma verificação de segurança em aplicativos na Play Store antes de você instalá-los, é um salva-vidas em tais situações e deve permanecer habilitado. A ferramenta também pode escanear seu dispositivo em busca de aplicativos prejudiciais depois que eles foram baixados e instalados, além de enviar alertas sobre aplicativos que podem acessar suas informações pessoais.

O Play Protect está ativado por padrão, mas se você o desativou anteriormente por qualquer motivo, veja como ativá-lo novamente:

  • Abrir Loja Google Play.
  • Toque no seu ícone de perfil no canto superior direito.
  • Tocar Brincar de ProtegerConfigurações.
  • Habilitar Escaneie aplicativos com o Play Protect.

Para escanear seu dispositivo via Play Protect, basta navegar até Loja de jogosícone de perfilBrincar de ProtegerDigitalizar.