만약 주머니에 네코 캔디 웨이퍼가 있다면, 맛있는 간식이 준비된 것이다. 하지만 만약 주머니에 네크로 악성코드가 있는 안드로이드 폰이 있다면, 나쁜 시간을 보낼 수 있다. 새로운 버전의 네크로 트로이안 악성코드가 플레이 스토어에 등록된 안드로이드 앱과 인기 앱 및 게임의 수정본에 감염되었다.
네크로 로더는 스테가노그래피를 사용하여 페이로드를 숨긴다. 이는 다른 메시지나 물리적 객체를 사용하여 페이로드를 숨기는 방식으로, 보이지 않는 창에서 광고를 표시하여 공격자에게 수익을 창출하고, 배터리 수명을 줄이고 성능을 저하시켜 핸드폰을 뜨겁게 만들 수 있다. 또한, 타겟 폰을 유료 구독 서비스에 가입시킬 수도 있다. 페이로드는 임의의 자바스크립트 및 DEX 파일을 다운로드하고 실행할 수도 있다.
이 악성코드가 어떻게 당신의 폰에 감염될 수 있는지에 대한 예로, 지난달 카스퍼스키의 보안 연구원들은 Spotify Plus라는 스포티파이 모드 앱을 발견했으며, 이 앱은 카스퍼스키가 위험하다고 표시한 사이트에서 다운로드할 수 있었다. 원래 웹사이트는 이 앱이 안전하고 인증되었으며 공식 앱에서 제공하지 않는 여러 기능이 있다고 주장했다. 연구 결과, 이 스포티파이 모드는 네크로 악성코드를 포함하고 있었다.
이 연구를 진행하는 과정에서 카스퍼스키는 네크로에 감염된 다른 앱들도 발견했으며, 이 앱들은 플레이 스토어에서 다운로드된 총 1100만 대의 안드로이드 폰에 설치되었다. 플레이 스토어의 Wuta Camera 앱은 단독으로 1000만 번 이상 다운로드되었다. 구글은 결국 이 앱을 플레이 스토어에서 제거했지만, 만약 당신의 폰에 설치되어 있다면 여전히 남아 있을 수 있으며, 당신과 당신의 폰에 문제를 일으킬 수 있다. 만약 안드로이드 기기에 Wuta Camera 앱이 있다면 즉시 삭제하라.
카스퍼스키는 또한 Max Browser라는 두 번째 네크로 감염 플레이 스토어 앱을 발견했다. 이 앱은 구글 플레이 스토어를 통해 안드로이드에 100만 번 이상 설치되었으며, 12.0 버전부터 네크로 악성코드를 포함하고 있었다. 다시 한번, 구글은 이 앱을 안드로이드 앱 스토어에서 제거했으며, 다시 한번 당신의 안드로이드 폰에 이 앱이 있는지 확인하길 바란다. 만약 있다면 즉시 삭제하라.
수정된 WhatsApp 버전도 네크로 로더를 포함하고 있는 것으로 발견되었다. 플레이 스토어에는 같은 패키지 이름을 가진 합법적인 앱이 있지만, 단지 메시징 앱을 위한 스티커만 제공한다. 스포티파이와 WhatsApp 모드 및 두 개의 플레이 스토어 앱 외에도, 이 악성코드는 다음과 같은 게임 모드에서도 발견되었다:
Minecraft
Stumble Guys
Car Parking Multiplayer
Melon Sandbox
수정된 앱들이 공식 출처에서 설치되지 않았기 때문에, 네크로에 감염된 폰의 수는 플레이 스토어에서 다운로드된 두 앱의 1100만 대를 넘을 수 있다. 카스퍼스키의 보안 도구는 8월 26일부터 9월 25일 사이에 10,000건 이상의 네크로 공격을 차단했으며, 대부분의 공격은 러시아, 브라질, 베트남에서 발생했다.
