Kaspersky Labは9月23日(現地時間)、「Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist」において、Google Playで配布されているアプリからトロイの木馬「Necro」を発見したと報じた。マルウェアを含むアプリは「Wuta Camera - Nice Shot Always」および「Max Browser-Private & Security」の2つで、総ダウンロード数は合計で1,100万回以上とされる。

Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods|Securelist

○マルウェアが混入していたアプリの概要

マルウェアが混入していたアプリおよびバージョンは次のとおり。

Wuta Camera - Nice Shot Always 6.3.2.148から6.3.7.138未満のバージョン

Max Browser-Private & Security 1.2.0およびこれ以降のバージョン

Google PlayのWuta Cameraアプリページ

○マルウェアが除去されたアプリ

マルウェアを除去したとされるアプリおよびバージョンは次のとおり。

Wuta Camera - Nice Shot Always 6.3.7.138

○マルウェア配布の原因

これらアプリは複数の広告モジュールを統合した「AdsRun」と呼ばれるソフトウェア開発キット(SDK: Software Development Kit)を採用。AdsRunは初期化時に「Coral SDK」と呼ばれるモジュールを初期化するが、このモジュールがマルウェアローダーとされる。

つまり、アプリの開発者は独自の広告配信システムを導入しようとして、悪意のあるSDKを導入したことになる。これはサプライチェーン攻撃と呼ばれる攻撃手法で、外部ソフトウェアを十分に監査せずに採用することで発生する。

○トロイの木馬「Necro」の概要

マルウェアローダーはコマンド&コントロール(C2: Command and Control)サーバから画像ファイルをダウンロードする。この画像ファイルにはステガノグラフィーによるマルウェアの埋め込みがなされており、セキュリティソリューションの検出を回避する。マルウェアローダーはダウンロードした画像ファイルからトロイの木馬「Necro」を抽出して実行する。

Necroには少なくとも次の機能があるとされる。

非表示広告の表示および操作

任意のDEXファイルのダウンロードおよび実行

アプリのインストール

非表示WebViewを構築し、任意のリンクアクセスおよびJavaScriptの実行

有料サービスに加入

ネットワークトンネルの構築

○影響と対策

Kaspersky Labの調査によると、2024年8月26日から9月15日まで、同社のセキュリティソリューションによりNecroの感染を1万件以上阻止したという。国別の統計ではロシア、ブラジル、ベトナムのユーザーが影響を多く受けたとのこと。

2024年8月26日から9月15日までの国別Necro感染阻止件数 引用:Kaspersky

Wuta Cameraはマルウェア混入の報告を受けて修正バージョンを公開した。Kasperskyは当該アプリを使用しているユーザーに対し、アプリを最新バージョンにアップデートすることを推奨している。なお、Max Browserは報告後にストアから削除された。そのため、Max Browserはアンインストールすることが推奨されている。

非公式ストアから配布されている複数のアプリからもNecroが発見されており、影響を軽減するためアプリはGoogle Playまたは公式サイトからのみダウンロードすることが望まれている。