Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store

Kaspersky heeft ontdekt dat enkele populaire Android-apps besmet zijn met een nieuwe variant van de Necro-malware. Onder de getroffen apps bevinden zich Max Browser en Wuta Camera, die respectievelijk meer dan een miljoen en tien miljoen downloads hebben in de Play Store.

De malware is volgens Kaspersky in apps verschenen door een malafide sdk die gebruikt wordt voor sommige legitieme apps. Eenmaal geïnstalleerd kan de malware verschillende schadelijke acties uitvoeren, waaronder het tonen van onzichtbare advertenties. De malware kan ook willekeurige links openen in een onzichtbaar WebView-venster en vervolgens JavaScript-code uitvoeren. Necro kan potentieel ook abonnementen op betaalde diensten afsluiten.

De malware was volgens het securitybedrijf onder meer aanwezig in Wuta Camera en Max Browser in de Play Store. Eerstgenoemde app lijkt vanaf versie 6.3.2.148 besmet te zijn met Necro. In de recentste versie, 6.3.7.138, is de trojan verwijderd. Max Browser is helemaal uit de Play Store verwijderd nadat Kaspersky een melding deed bij Google. De malware is ook verschenen in mods voor bekende applicaties zoals WhatsApp en Minecraft, die via onofficiële kanalen worden verspreid. Kaspersky stuitte eind augustus bijvoorbeeld op een aangepaste Spotify-versie, die zogenaamd gemodificeerd was voor gratis Premium.

Ook bestaat de mogelijkheid dat de malware gebruikers ongewenst abonneert op betaalde diensten. Dit is niet de eerste keer dat Necro opduikt in populaire apps. In 2019 werd de malware aangetroffen in CamScanner, een app met destijds meer dan 100 miljoen downloads. Kaspersky adviseert gebruikers om voorzichtig te zijn met het installeren van apps, vooral als deze afkomstig zijn van onofficiële bronnen.

Google Play Necro-malware via KasperskyGoogle Play Necro-malware via Kaspersky

Twee besmette Android-apps in de Google Play Store: Wuta Camera met tien miljoen downloads, Max Browser met een miljoen installaties. Bron: Kaspersky

Door Andrei Stiru

Redacteur

Feedback • 24-09-2024 12:08
26 • submitter: Anonymoussaurus

24-09-2024 • 12:08

26

Submitter: Anonymoussaurus

Lees meer

Australië verbiedt Kaspersky-software voor overheidsgebruik
Australië verbiedt Kaspersky-software voor overheidsgebruik Nieuws van 24 februari 2025
'Google begint met uitrol van drie nieuwe Android-antidiefstalfuncties'
'Google begint met uitrol van drie nieuwe Android-antidiefstalfuncties' Nieuws van 6 oktober 2024
Google moet in Argentinië gesideloade app verwijderen van Android-telefoons
Google moet in Argentinië gesideloade app verwijderen van Android-telefoons Nieuws van 23 september 2024
Bankhelpdeskfraudeur die 200.000 euro stal krijgt veertig maanden celstraf
Bankhelpdeskfraudeur die 200.000 euro stal krijgt veertig maanden celstraf Nieuws van 20 september 2024
Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet
Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet Nieuws van 18 september 2024
Nieuwe Mirai-variant infecteert verouderde IP-camera's
Nieuwe Mirai-variant infecteert verouderde IP-camera's Nieuws van 3 september 2024
Australisch cyberagentschap waarschuwt voor opkomende 'infostealer'-malware
Australisch cyberagentschap waarschuwt voor opkomende 'infostealer'-malware Nieuws van 3 september 2024
Proof-of-concept verschijnt voor simpel te misbruiken, al gepatchte Windows-bug
Proof-of-concept verschijnt voor simpel te misbruiken, al gepatchte Windows-bug Nieuws van 29 augustus 2024
Microsoft lost bug Exchange Online op waarbij plaatjes als malware gezien werden
Microsoft lost bug Exchange Online op waarbij plaatjes als malware gezien werden Nieuws van 27 augustus 2024
AMD-cpu's bevatten kwetsbaarheid waardoor malware heimelijk geplaatst kan worden
AMD-cpu's bevatten kwetsbaarheid waardoor malware heimelijk geplaatst kan worden Nieuws van 10 augustus 2024
Meer producten en artikelen
Beveiliging en antivirus Google Kaspersky Lab Android Malware

Reacties (26)

-Moderatie-faq
26
26
5
0
0
13
Wijzig sortering
Bor Coördinator Frontpage Admins / FP Powermod
24 september 2024 12:31
Dit toont maar weer eens dat de screening nieuwe en aangepaste apps binnen app stores echt te kort schiet. Het aantal gebruikers is, zeker met gratis software, al snel enorm.
kodak
@Bor24 september 2024 12:57
Helaas niet alleen binnen de app store. De ontwikkelaars en gebruikers schieten hier ook te kort.

De ontwikkelaars hebben onrealistisch vertrouwen in development kits en software van anderen. De app store heeft onrealistisch vertrouwen in de ontwikkelaars en de gebruikers hebben onrealistisch vertrouwen in de app stores.

Nu kunnen we natuurlijk makkelijk alleen naar de app store gaan wijzen, maar gewoonlijk heb je eigen verantwoordelijkheid om zelf niet zomaar risico te gaan nemen als je niet snapt of kan snappen waar je mee bezig bent. Risico hopen te verminderen door naar een ander te wijzen is daarbij niet zomaar genoeg, omdat afschuiven niet zomaar zorgt dat je risico af neemt en zelfs gemakkelijk veel erger kan worden. Want die ontwikkelaars van de development kits, de verspreiders van die kits, de intwikkelaars van de apps en de verspreiders van de apps schuiven de verantwoordelijkheid net zo makkelijk af. En voor we nu in ee discussie belanden dat gebruikere minder kennis of mogelijkheden hebben, dat is precies waarom je niet zomaar moet gaan verwachten dat anderen het maar moeten hebben alsof dat een excuus is om ondertussen nagenoeg blind apps te gaan en blijven gebruiken.

[Reactie gewijzigd door kodak op 24 september 2024 13:00]

Stukfruit @kodak24 september 2024 13:24
De ontwikkelaars en gebruikers schieten hier ook te kort.
De mensen die achter dit soort apps zitten zijn meestal niet echt meer "ontwikkelaars" te noemen. Ze pakken bestaande code, doen er een strikje omheen en presenteren het als iets nieuws.

Helaas is dit al sinds het begin van de Android Market al zo geweest, waar men gewoon één van de voorbeelden uit de SDK's pakte en er een klein beetje aan schaafde om het "eigen" te maken.

En ook hier wordt weer de verantwoordelijkheid naar de eindgebruiker geschoven, terwijl dat erg oneerlijk is. De eindgebruiker kan niet alles tot in detail beoordelen. Een dag heeft niet genoeg uren om dat te doen. Wat hier eigenlijk strakgetrokken moet worden is het beleid van Google voor wat er qua kwaliteit (niet qua voorkeur) wel en niet in de store mag, maar net als bij alle andere platformen is tegenwoordig "meer = beter" en eindig je met 999 browsers en 999 camera-apps met Instagramfilters die allemaal hetzelfde doen.

Het probleem is dat er niet wordt aangestuurd op kwaliteit, maar kwantiteit. En daar maken de "ontwikkelaars" gretig misbruik van, wat op hun beurt voor de grote platformen ook goed is omdat het via de bijbehorende marges en advertentieinkomsten goed boeren is.

Dus nee, de (echte) ontwikkelaars en gebruikers schieten hier niet te kort.

[Reactie gewijzigd door Stukfruit op 24 september 2024 14:31]

kodak
@Stukfruit24 september 2024 15:52
Je negeeet mijn punt dat wie tekortkomingen heeft zich niet zomaar vrij kan stellen van eigen verantwoordelijkheid om toch maar risico te nemen.

Zoals je zelf al stelt is het niet nieuw dat de apps veel te gemakkelijk gemaakt worden. En dus ook dat je apps niet zomaar kan vertrouwen. Dat heel veel 'ontwikkelaars' en gebruikers dat negeren is ze dus juist aan te rekenen. Je kan immers niet net doen alsof je als maker of gebruikers niet hoeft te leren dat je risico neemt en dan selectief wel vinden dat een appstore dat wel zou moeten. Dat is van twee walletjes eten.

Als je op koningsdag tientallen onbekende verkopers tegen komt die je bederfelijke etenswaren op straat proberen te verkopen neem je ook niet zomaar risico met de verwachtingen dat de verkoper beter rekening met jou gezondheid zal houden dan je eigen onkunde of onwil. Neemt niet weg dat er wel degelijk een verantwoordelijkheid bij de verkoper ligt, maar ook gewoon bij de maker en de gebruiker. Apps vam onbekenden gebruiken is al jaren duidelijk risico nemen. Zeker als je geen benul hebt hoe het werkt, het niet interesseert of en hoe een sdk wel veilig is en we perse maar liever klagen alsof alleen de appstore tekort schiet zodat we ondertussen eigenwijs die apps maar blijven gebruiken alsof ze wel te vertrouwen zijn.
Stukfruit @kodak24 september 2024 19:07
Ik vraag me af waarom je ontwikkelaars (echte en wannabe's) en gebruikers op één stapel blijft gooien. Wat is daar de gedachte achter?
Je negeeet mijn punt dat wie tekortkomingen heeft zich niet zomaar vrij kan stellen van eigen verantwoordelijkheid om toch maar risico te nemen.
Tekortkomingen bestaan vaak uit zaken waar een gebruiker weinig aan kan doen. Ouderdom komt gewoon, om maar een voorbeeld te noemen. Eigen verantwoordelijkheid is een utopie.
Als je op koningsdag tientallen onbekende verkopers tegen komt die je bederfelijke etenswaren op straat proberen te verkopen neem je ook niet zomaar risico met de verwachtingen dat de verkoper beter rekening met jou gezondheid zal houden dan je eigen onkunde of onwil.
Je vergelijkt hier een enkele feestdag in het jaar met amateurverkopers die op kleine schaal hun rommel van de zolder verkopen voor een zakcentje, met een Play Store die gepresenteerd wordt als eerstelijns optie om apps vandaan te halen en waarop bedrijven hun hoop vestigen om via honderdduizenden tot miljoenen gebruikers inkomsten uit advertenties of in-app aankopen te halen.

Ik neem aan dat je ziet hoe scheef die vergelijking is :)
Apps vam onbekenden gebruiken is al jaren duidelijk risico nemen. Zeker als je geen benul hebt hoe het werkt, het niet interesseert of en hoe een sdk wel veilig is en we perse maar liever klagen alsof alleen de appstore tekort schiet zodat we ondertussen eigenwijs die apps maar blijven gebruiken alsof ze wel te vertrouwen zijn.
Sure, maar mijn punt is dat je het op die plek simpelweg niet gaat oplossen omdat dit uiteindelijk voortkomt uit een bedrijfsmodel van de grote platformen dat dit überhaupt mogelijk maakt. Je kan het op de lagere partijen afschuiven, maar dat heeft hetzelfde effect als water naar de zee dragen.

[Reactie gewijzigd door Stukfruit op 24 september 2024 19:07]

kodak
@Stukfruit24 september 2024 21:22
Het een utopie vinden dat mensen eigen verantwoordelijkheid kunnen nemen maar dan wel zelf net doen alsof een specifiek bedrijf dat maar wel kan en moet doen omdat de mensen daar een bedrijfsmodel hanteren is zeer selectief en tegenstrijdig.

Ik ben het met je eens dat er ook mensen zijn die moeite hebben eigen verantwoordelijkheid te nemen en hulp mogen verwachten. Maar het grootste deel kan prima van fouten leren en weet dat je zelf niet zomaar risico moet nemen als je iets niet snapt. Als we opzettelijk net gaan doen alsof ontwikkelaars en gebruikers geen eigen verantwoordelijkheid kunnen nemen maar wel de vrijheid hebben om alles wat onbekenden maar leveren te gebruiken alsof bij problemen de verantwoordelijkheid alleen bij een appstore ligt is onredelijk. Net zoals het onredelijk is om net te doen alsof je tijdens koningsdag, of welke andere dag dan ook, maar van willekeurige onbekende mensen op straat bedervelijk voedsel gaat eten en dan net doet alsof je zelf geen verantwoordelijkheid hebt dat je een salmonellabesmetting hebt opgelopen en je er dan ook niet van leert. Er is al ontelbare keren via nieuws en via slachtoffers gebruikers er op gewezen dat je apps van anderen niet zomaar kan vertrouwen. Dan wel eigenwijs maar gaan en blijven installeren en gebruiken is geen tekortkoming van niet kunnen weten dat je risico neemt, het is de tekortkomingen van doen alsof vrijheid niet met eigen verantwoordelijkheid komt. En dat is geen tekortkoming alsof er niets aan valt te doen door de gebruikers of makers.
oef! @Bor24 september 2024 13:02
Sure maar dan rijst de vraag hoe dat zou moeten. Volgende de bron:
The new version of the Necro loader, like most payloads it loads, has begun to use obfuscation to evade detection. The loader, embedded in some applications, used steganography techniques to hide payloads.

Op een gegeven moment kun je weinig anders dan een app wekenlang in een sandbox gooien, gebruik simuleren, alles monitoren en aanvullende handmatige analyse uitvoeren zolang je er nog geen AI voor hebt.
Bor Coördinator Frontpage Admins / FP Powermod
@oef!24 september 2024 13:13
Sure maar dan rijst de vraag hoe dat zou moeten.
Het is en blijft een kat en muisspel. Detectie moet meebewegen en ontwikkelen rond nieuwe manieren om malware te verbergen. Dit geldt voor alle typen malware en andere bedreigingen. 100% veilig krijg je het (helaas) nooit.

[Reactie gewijzigd door Bor op 24 september 2024 13:14]

gerwim @Bor24 september 2024 22:53
Dit staat helemaal los van de reviews van de app stores. Sommige development omgevingen staan over the air updates toe. Dus de (malafide) code wordt later pas toegevoegd, nadat Apple / Google de app heeft goedgekeurd.

Ik vermoed dat dat hier ook het geval is.
Ghostery @Bor25 september 2024 20:32
Dit bewijst niet alleen, dat de keuring nog strenger moet, maar dat die onzin van de EU ook eens moet stoppen van meerder Appstores. De consument maakt simpel weg meer en meer gebruik van hun telefoon voor allerlei zaken. En verschillende geforceerder (in apples verhaal) Appstores maar het er simpel weg niet makkelijker op.

En het antwoord, dan gebruik je die andere Appstores toch niet. Dat is simpel weg niet de oplossing.
Als een bepaalde app hype of veel gebruikte app niet meer via de officiële App Store verkrijgbaar is, dan heb je simpel weg geen keus. De vraag is niet of dit gebeurd, maar wanneer dit gebeurd.

En als antwoord nog steeds is, dan gebruik je die ander Appstore toch niet, dan vind ik dat ik ook kan zeggen, dan gebruik je een iPhone (closed system zover het dat nog is) toch niet, en gebruik je toch lekker Android.

Er moet gewoon ruimte zijn voor open en closed systemen.
Bor Coördinator Frontpage Admins / FP Powermod
@Ghostery25 september 2024 20:43
Ik snap de relatie niet helemaal. Ook Apple kent issues met besmette software in de appstore. Daar is Apple eigenlijk vrijwel niet anders dan Google. Een closed systeem is op dit punt misschien soms nog wel erger omdat je zelf amper controle kan uitoefenen en bijna geen alternatieven hebt.
Ghostery @Bor25 september 2024 21:18
Ongetwijfeld kent Apple dit ook, maar bedrijven zoals Apple hebben het geld om dit nog beter te kunnen controleren, uiteraard moeten ze dat dan wel gaan doen. Aparte Appstores hebben vaak dit geld niet, en is in mijn beleving nadelig voor de eindgebruiker. Hoewel ik snap voor mensen met technische kennis, dat je misschien het gevoel van controle wilt hebben, geld dit niet voor de meeste niet technische gebruikers. En daar hebben we natuurlijk het meest mee te maken.
Bor Coördinator Frontpage Admins / FP Powermod
24 september 2024 12:29
De malware is ook verschenen in mods voor bekende applicaties zoals WhatsApp en Minecraft, die via onofficiële kanalen worden verspreid. Kaspersky stuitte eind augustus bijvoorbeeld op een aangepaste Spotify-versie, die zogenaamd gemodificeerd was voor gratis Premium.
Het bundelen van malware met gratis modificaties die betaalde content mogelijk maken is, net als het bundelen met cracks en keygens al heel erg lang een veelgebruikte strategie. Je houdt iemand een worst voor (gratis betaalde content); het enige wat ze daar voor moeten doen is een tool te draaien, soms met admin rechten en soms zelfs vergezeld van instructies dat de virusscanner even gedeactiveerd dient te worden (want 'false positive' (not)). Ik blijf verbaast hoeveel mensen hier nog in trappen.
TV_NERD @Bor24 september 2024 12:52
Ja en nee, als je je gekraakte software van de juiste kanalen haalt komt het inderdaad regelmatig voor dat virusscanners een false positive geven op een crack/mod/installscript zonder dat er daadwerkelijk een virus meekomt. Vooral gekraakte Denuvo games hebben daar een handje van.

Dat is ook logisch, het weerhoudt meer mensen ervan gekraakt spul te gebruiken als een virusscanner daar een "false" positive op geeft. Als je gaat googlen naar "Spotify free premium Android app" is het een ander verhaal uiteraard :+
GertMenkel
@TV_NERD24 september 2024 13:33
Ik geloof niet dat het weerhouden van piraterij nou zo'n prioriteit is voor die bedrijven. Wat natuurlijk wel opvalt is een binary die 90% matcht met de variant die al een miljoen keer voorkomt, ineens geen of een ongeldige handtekening bevat, en allerlei rare geheugenadressen gaat aanraken/monitoren. Het verschil tussen een worm en een crack wordt dan opeens best wel klein.

Dan heb je ook vaak nog eens dat sommige crack/keygen-auteurs het leuk vinden om hun cracks in allerlei gare packers en compressietools te stoppen, tools die vaak ook door malware wordt gebruikt en eigenlijk maar weinig door officiële software. Ze hebben als voordeel dat de binaries kleiner worden en minder lastiger te reversen zijn (zodat de game-makers de cracks niet zomaar kunnen verslaan), maar om diezelfde reden gebruiken virussen die truc ook om antivirussoftware te omzeilen.

Er zullen vast gevallen zijn dat er geen reden is om piraterijprogramma's als virus te markeren (vlmcsd op Windows bijvoorbeeld) maar heel veel piraterijprogramma's gedragen zich ook gewoon net als een virus.
Bor Coördinator Frontpage Admins / FP Powermod
@TV_NERD24 september 2024 18:00
Dat is ook logisch, het weerhoudt meer mensen ervan gekraakt spul te gebruiken als een virusscanner daar een "false" positive op geeft.
Dat is de reden helemaal niet. De reden waarom er soms een false positive komt is omdat cracks en soortgelijke software meer dan eens technieken gebruiken die ook door malware wordt gebruikt. Er is echt geen complot om mensen naar betaalde software te pushen door cracks expres als malicious aan te merken.
TV_NERD @Bor24 september 2024 18:03
Dat het geen complot is wil nog niet zeggen dat het niet het neveneffect heeft :)
ikt @Bor24 september 2024 13:05
Met de frequentie waarop antivirusprogramma's false positives rapporteren is het niet heel vreemd. Compileer een programmaatje dat iets complexer is dan de gemiddelde Hello World, en een rits van virusscanners gaat af op bijvoorbeeld VirusTotal.

Bij veel mensen dus automatisch de correlatie dat als je niet-door-megabedrijven geschreven applicaties wil draaien, je de antivirus even moet uitzetten (en met de kennis dat een random kraker != megacorp), is het niet heel vreemd dat er dan zo af en toe wat malafide software toch op PCs belandt. Hetzelfde op Android tegenwoordig - van een APKtje van GitHub of zelfs van je eigen PC gaat Android snel over de rooie, dan kies je er toch voor om automatisch je gedownloade installers toe te laten.

Overtrokken AVs en OS-beveiliging zorgen uiteindelijk voor slechtere gebruikers.
Bor Coördinator Frontpage Admins / FP Powermod
@ikt24 september 2024 18:01
Met de frequentie waarop antivirusprogramma's false positives rapporteren is het niet heel vreemd. Compileer een programmaatje dat iets complexer is dan de gemiddelde Hello World, en een rits van virusscanners gaat af op bijvoorbeeld VirusTotal.
Dit is echt sterk overtrokken. Ik heb net even een test gedaan met een honderdtal zelf geschreven applicaties. Geen enkele triggered een detectie of een enkele na die inderdaad wat malicious doet.
Bij veel mensen dus automatisch de correlatie dat als je niet-door-megabedrijven geschreven applicaties wil draaien, je de antivirus even moet uitzetten
Dit is gewoon onzin. Het is nooit tot vrijwel nooit nodig om AV uit te schakelen, ook niet bij software geschreven door kleine bedrijven, individuen etc.

[Reactie gewijzigd door Bor op 24 september 2024 18:02]

Aeternum @Bor25 september 2024 08:56
Deel je mening, ik heb echter wel gedonder met norton gehad. Die gebruikt reputatie van bestanden en hoeveel mensen het bestand hebben. De problemen ontstonden bij de kaarten van openmtbmap.org. Die hebben installers voor het gebruik met basecamp (garmin).
djexplo 24 september 2024 12:41
17% of adults run antivirus programs on their mobile phones.
bron. Dus het enige wat malware een beetje buiten de deur houd is Google Play Protect.
Ben wel benieuwd hoeveel android gebruikers wel niet besmet zijn met van alles, terwijl ze dat niet weten...
Bux666 24 september 2024 13:15
Eenmaal geïnstalleerd kan de malware verschillende schadelijke acties uitvoeren, waaronder het tonen van onzichtbare advertenties.
Geen idee wat daar het doel van is, maar maak wat mij betreft maar ALLE advertenties onzichtbaar. Degene die ik überhaupt al zie met alle adblockers...
Senaxx 24 september 2024 13:37
Ik weet niet hoeveel waarde er aan het woord van Kaspersky gehangen moet worden.

https://www.bleepingcompu...ntivirus-without-warning/
Dark Angel 58 @Senaxx24 september 2024 14:05
Ga je malware installeren om te kijken of ze gelijk hebben? Dus veel succes! Twee duimen omhoog lol
Rubber Duck @Senaxx24 september 2024 14:23
Ik vind dat nog een heel mooie oplossing, Als Amerika ze buitensjot hadden ze evengoed "niets" kunnen doen en waren al die pc's nu niet meer beveligd.

Communicatie had wel beter gekunt, mss opt-out keuze voor de instalatie van de andere (met vaste reactie termijn)
nutty 24 september 2024 20:40
Vreemd dat Kaspersky het werk moet doen van Google

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq