近日，中招有研究人员发现在恶意 SDK 供应链攻击中，又安意软有黑客通过 Google Play 在 1100 万台设备上安装了新版本的卓恶 Necro 恶意安卓载入器。

这种新版 Necro 木马是光至通过合法应用程序 、安卓游戏 mod 和 Spotify、少万WhatsApp 和 Minecraft 等流行软件的台设修改版所使用的恶意广告软件开发工具包 (SDK) 安装的 。

Necro 会在受感染设备上安装多个有效载荷 
，备已并激活各种恶意插件，中招包括：

通过隐形 WebView 窗口加载链接的又安意软广告软件（Island 插件 、Cube SDK）下载和执行任意 JavaScript 和 DEX 文件的卓恶模块（Happy SDK
、服务器租用Jar SDK）专为订阅欺诈提供便利的光至工具（Web 插件、Happy SDK、少万Tap 插件）将受感染设备用作代理来路由恶意流量的台设机制（NProxy 插件）Google Play 上的 Necro 木马

卡巴斯基在 Google Play 上的两个应用程序中发现了 Necro 载入器 ，这两个应用程序都拥有大量用户 。备已

第一个是中招 “Benqu ”的 Wuta Camera，这是一款照片编辑和美化工具，在 Google Play 上的下载量超过 1000万次 。

Google Play 上的亿华云 Wuta 相机应用程序
，来源 ：BleepingComputer

威胁分析师报告称，Necro是在6.3.2.148版本发布时出现在该应用上的，直到6.3.6.148版本 ，卡巴斯基才通知谷歌 。

虽然该木马在6.3.7.138版本中被移除  ，但任何可能通过旧版本安装的有效载荷仍可能潜伏在安卓设备上 。

第二个携带 Necro 的合法应用程序是 “WA message recover-wamr ”的 Max Browser ，它在 Google Play 上有 100 万下载量 ，直到卡巴斯基报告后才被删除
。源码库

卡巴斯基称 ，Max Browser的最新版本1.2.0仍携带Necro 
，目前暂没有安全版本可供升级
，建议该浏览器的用户立即卸载，换用其他浏览器。

卡巴斯基称 ，这两款应用程序是被一个名为 “Coral SDK ”的广告SDK感染的
，该SDK主要采用混淆技术来隐藏其恶意活动 ，同时还利用图像隐写术来下载第二级有效载荷shellPlugin，并伪装成无害的PNG图像。云计算

感染链路图 来源
：卡巴斯基

谷歌表示他们知道这些被举报的应用程序  ，并正在对其进行调查  。

Necro 木马也通过其他非官方渠道传播

在 Play Store 之外，Necro 木马主要通过非官方网站发布的流行应用程序的修改版本（mods）进行传播。

卡巴斯基发现的著名例子包括 WhatsApp mods “GBWhatsApp ”和 “FMWhatsApp” ，它们承诺提供更好的隐私控制和扩展文件共享限制。另一个例子是 Spotify mod “Spotify Plus” ，它承诺免费使用无广告的高级服务。

传播恶意 Spotify Mod 的源码下载网站 来源
：卡巴斯基

报告中还提到了感染 Necro 载入器的 Minecraft mod 和其他流行游戏的 mod ，如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox
。

在所有情况下，恶意行为都是在后台显示广告为攻击者带来欺诈性收入
、未经用户同意安装应用程序和 APK
，以及使用隐形 WebViews 与付费服务进行交互。

由于非官方的安卓软件网站不会如实报告下载数量 ，因此最新一轮 Necro 木马感染的总数量尚不得而知，但至少有 1100 万次来自 Google Play。

免费模板

(责任编辑：系统运维)