Necro Trojan IOCs

Kaspersky Lab опубликовала отчет, в котором сообщается, что троян Necro снова появился, поражая как официальные, так и модифицированные версии таких популярных приложений, как Spotify и Minecraft.

Necro Trojan

Эта вредоносная программа, известная своей многоступенчатой архитектурой, использует такие передовые методы, как стеганография для сокрытия полезной нагрузки и обфускация, чтобы избежать обнаружения. В августе 2024 года версия троянца была обнаружена в модифицированном приложении Spotify «Spotify Plus», которое распространялось через неофициальные источники, ложно заявляя о своей безопасности. Кроме того, легитимные приложения в Google Play, такие как Wuta Camera и Max Browser, также были скомпрометированы, в результате чего пострадали более 11 миллионов Android-устройств по всему миру.

Загрузчик Necro, который скрывает вредоносный код внутри изображений с помощью стеганографии, позволяет злоумышленникам запускать несанкционированную рекламу, загружать файлы и даже устанавливать другие вредоносные программы на пораженные устройства. Некоторые из этих приложений были удалены из Google Play после того, как их отметили, но многие моды продолжают распространяться на неофициальных платформах.

Хотя это не первый случай обнаружения Necro, ранее он был замечен в таких приложениях, как CamScanner, Secure List считает, что использование модульных плагинов делает его особенно опасным. Злоумышленники могут развернуть различные полезные нагрузки в зависимости от целевого приложения, что позволяет проводить широкомасштабные или индивидуальные атаки. Последние данные свидетельствуют о десятках тысяч атак, связанных с Necro, в таких странах, как Россия, Бразилия и Вьетнам, причем количество зараженных устройств, вероятно, значительно превышает число обнаруженных.

Indicators of Compromise

IPv4

• 174.129.61.221
• 47.88.190.200
• 47.88.245.162
• 47.88.246.111
• 47.88.3.73

Domains

• bear-ad.oss-us-west-1.aliyuncs.com
• hsa.govsred.buzz
• justbigso.com
• oad1.azhituo.com
• oad1.bearsplay.com

URLs

• https://adoss.spinsok.com/plugin/shellE_30.png
• https://adoss.spinsok.com/plugin/shellP_100.png.png

MD5

• 0898d1a6232699c7ee03dd5e58727ede
• 1590d5d62a4d97f0b12b5899b9147aea
• 1cab7668817f6401eb094a6c8488a90c
• 1eaf43be379927e050126e5a7287eb98
• 247a0c5ca630b960d51e4524efb16051
• 28b8d997d268588125a1be32c91e2b92
• 30d69aae0bdda56d426759125a59ec23
• 36ab434c54cce25d301f2a6f55241205
• 37404ff6ac229486a1de4b526dd9d9b6
• 4c2bdfcc0791080d51ca82630213444d
• 4e9bf3e8173a6f3301ae97a3b728f6f1
• 522d2e2adedc3eb11eb9c4b864ca0c7f
• 52a2841c95cfc26887c5c06a29304c84
• 59b44645181f4f0d008c3d6520a9f6f3
• 874418d3d1a761875ebc0f60f9573746
• acb7a06803e6de85986ac49e9c9f69f1
• b3ba3749237793d2c06eaaf5263533f2
• b69a83a7857e57ba521b1499a0132336
• ccde06a19ef586e0124b120db9bf802e
• cfa29649ae630a3564a20bf6fb47b928
• ed6c6924201bc779d45f35ccf2e463bb
• fa217ca023cda4f063399107f20bd123