कुछ गूगल प्ले सुरक्षा शोधकर्ताओं के अनुसार, लोकप्रिय ऐप्स के ऐप्स और अनौपचारिक मॉड्स को हमलावरों द्वारा खतरनाक मैलवेयर फैलाने के लिए लक्षित किया जा रहा है। कथित नेक्रो ट्रोजन कीस्ट्रोक्स को लॉग करने, संवेदनशील जानकारी चुराने, अतिरिक्त मैलवेयर इंस्टॉल करने और कमांड के रिमोट निष्पादन में सक्षम है। Google Play ऐप स्टोर में दो ऐप्स को इस मैलवेयर के साथ देखा गया है। इसके अलावा, Spotify जैसे ऐप्स के मॉडेड (संशोधित) Android एप्लिकेशन पैकेज (APK), WhatsAppऔर माइनक्राफ्ट जैसे गेम में भी ट्रोजन वितरित होने का पता चला।
गूगल प्ले ऐप्स, मॉडेड एपीके का उपयोग नेक्रो ट्रोजन फैलाने के लिए किया गया
नेक्रो परिवार से एक ट्रोजन पहली बार देखा गया था 2019 में जब मैलवेयर ने लोकप्रिय पीडीएफ मेकर ऐप कैमस्कैनर को संक्रमित कर दिया था। Google Play पर 100 मिलियन से ज़्यादा डाउनलोड के साथ ऐप के आधिकारिक वर्शन ने उपयोगकर्ताओं के लिए जोखिम पैदा कर दिया था, लेकिन उस समय एक सुरक्षा पैच ने इस समस्या को ठीक कर दिया था।
एक के अनुसार डाक कैस्परस्की शोधकर्ताओं द्वारा, नेक्रो ट्रोजन का एक नया संस्करण अब दो Google Play ऐप्स में देखा गया है। पहला वुटा कैमरा ऐप है जिसे 10 मिलियन से अधिक बार डाउनलोड किया गया है, और दूसरा मैक्स ब्राउज़र है जिसे एक मिलियन से अधिक बार डाउनलोड किया गया है। शोधकर्ताओं ने पुष्टि की है कि गूगल कैस्परस्की द्वारा कंपनी से संपर्क करने के बाद संक्रमित ऐप्स को हटा दिया गया।
मुख्य समस्या लोकप्रिय ऐप्स के बड़ी संख्या में अनधिकृत ‘मॉडेल्ड’ संस्करणों से उत्पन्न होती है, जो बड़ी संख्या में तृतीय-पक्ष वेबसाइटों पर होस्ट किए गए पाए जाते हैं। उपयोगकर्ता गलती से उन्हें अपने डिवाइस पर डाउनलोड और इंस्टॉल कर सकते हैं। एंड्रॉयड डिवाइस को संक्रमित कर देता है। शोधकर्ताओं द्वारा खोजे गए मैलवेयर वाले कुछ APK में संशोधित संस्करण शामिल हैं Spotifyव्हाट्सएप, माइनक्राफ्ट, स्टम्बल गाईज, कार पार्किंग मल्टीप्लेयर और मेलन सैंडबॉक्स – ये मॉडेड संस्करण उपयोगकर्ताओं को उन सुविधाओं तक पहुंच का वादा करते हैं जिनके लिए आमतौर पर सशुल्क सदस्यता की आवश्यकता होती है।
दिलचस्प बात यह है कि हमलावर उपयोगकर्ताओं को निशाना बनाने के लिए कई तरह के तरीकों का इस्तेमाल कर रहे हैं। उदाहरण के लिए, शोधकर्ताओं के अनुसार, Spotify मॉड में एक SDK था जो कई विज्ञापन मॉड्यूल प्रदर्शित करता था। यदि उपयोगकर्ता गलती से छवि-आधारित मॉड्यूल को छू लेता है, तो ट्रोजन पेलोड को तैनात करने के लिए एक कमांड-एंड-कंट्रोल (C&C) सर्वर का उपयोग किया जा रहा था।
इसी तरह, व्हाट्सएप मोड में, यह पाया गया कि हमलावरों ने Google की फायरबेस रिमोट कॉन्फ़िगरेशन क्लाउड सेवा को C&C सर्वर के रूप में उपयोग करने के लिए अधिलेखित कर दिया था। अंततः, मॉड्यूल के साथ बातचीत करने से वही पेलोड तैनात और निष्पादित होगा।
कैस्परस्की पोस्ट में बताया गया है कि एक बार तैनात होने के बाद, मैलवेयर “निष्पादन योग्य फ़ाइलें डाउनलोड कर सकता है, थर्ड-पार्टी एप्लिकेशन इंस्टॉल कर सकता है, और जावास्क्रिप्ट कोड को निष्पादित करने के लिए अदृश्य वेबव्यू विंडो में मनमाने लिंक खोल सकता है।” इसके अलावा, यह उपयोगकर्ता को बताए बिना महंगी भुगतान सेवाओं की सदस्यता भी ले सकता है।
हालाँकि Google Play पर मौजूद ऐप्स को पहले ही हटा दिया गया है, लेकिन उपयोगकर्ताओं से तीसरे पक्ष के स्रोतों से Android ऐप्स डाउनलोड करते समय सावधान रहने का आग्रह किया जाता है। अगर उन्हें मार्केटप्लेस पर भरोसा नहीं है, तो उन्हें किसी भी ऐप या फ़ाइल को डाउनलोड या इंस्टॉल करने से बचना चाहिए।