Em 2019, os investigadores da Kaspersky descobriram que o malware Necro se tinha infiltrado na Play Store, escondendo-se numa popular aplicação que, na altura, contava com mais de 100 milhões de downloads. Cinco anos depois, o software malicioso volta à loja de aplicações da Google. Fora da Play Store, a nova versão do malware também foi detetada em versões modificadas de apps e jogos como Spotify e Minecraft disponíveis em lojas não-oficiais.
Segundo os investigadores, a mais recente versão do Necro é disseminada através de Software Development Kits (SDK) de publicidade maliciosa. O malware é capaz de instalar e ativar várias cargas maliciosas nos dispositivos infectados. Entre elas incluem-se plugins de adware, módulos que descarregam e executam código arbitrário, ferramentas concebidas para facilitar fraudes, assim como mecanismos que usam os dispositivos infetados para direcionar tráfego malicioso
O código malicioso do Necro foi encontrado em duas aplicações da Play Store. A primeira, chamada Wuta Camera, é publicitada como uma aplicação de edição de fotografia e, à data, contava com mais de 10 milhões de downloads. Já a segunda, um navegador online chamado Max Browser, contava com um milhão de downloads.
Os investigadores afirmam que as aplicações foram infetadas com este software malicioso através de um SDK de publicidade, chamado Coral SDK, que a recorria a técnicas de ofuscação para ocultar as suas atividades maliciosas além de usar uma tática que permite esconder cargas maliciosas em imagens.
Em declarações ao website Bleeping Computer, a Google avança que foi informada sobre esta situação e que as aplicações em questão foram removidas da sua loja de aplicações ainda antes da publicação da investigação da Kaspersky.
De acordo com dados da Play Store, as aplicações infetadas foram descarregadas mais de 11 milhões de vezes. No entanto, os especialistas da Kaspersky alertam para a possibilidade de o número de dispositivos afetados ser muito maior, tendo em conta que o malware também se infiltrou em versões modificadas de apps populares disponíveis em lojas online não-oficiais.
Entre os dias 26 de agosto e 15 de setembro, as soluções de segurança da empresa bloquearam mais de 10 mil ataques com este malware um pouco por todo o mundo. Entre os países mais afetados pela ameaça encontram-se Rússia, Brasil e Vietname.