Báo cáo từ Kaspersky cho biết hiện đã có hơn 11 triệu thiết bị Android đã bị nhiễm malware Necro thông qua hai ứng dụng tưởng chừng vô hại. Được phát hiện lần đầu vào năm 2019 Necro tồn tại trong ứng dụng nhận dạng văn bản CamScanner với hơn 100 triệu lượt tải xuống trên Google Play.

Phát hiện mới cho thấy Necro đã được nâng cấp nhiều tính năng hơn, tồn tại cả trong các ứng dụng phổ biến trên Google Play và trong các bản ứng dụng khác nhau trên các website không chính thức. Các chuyên gia Kaspersky nhận định có thể nhà phát triển của các ứng dụng hợp pháp đã sử dụng một công cụ tích hợp quảng cáo chưa được xác minh mà qua đó Necro đã xâm nhập.

Wuta Camera và Max Browser là hai ứng dụng bị phát hiện đã bị lây nhiễm malware Necro với số lượt tải về tổng cộng trên 11 triệu lần. Sử dụng kỹ thuật ẩn mã độc bên trong hình ảnh (steganography) Necro dễ dàng qua mặt các hệ thống bảo mật. Một khi đã lây nhiễm, mã độc này có khả năng thao túng thiết bị, tải mã độc bổ sung và thậm chí lén lút đăng ký các dịch vụ mất phí mà người dùng không hay biết.

Phần mềm độc hại này không chỉ xuất hiện trên Google Play mà còn lây lan qua các chợ ứng dụng không chính thức, nơi các phiên bản ứng dụng nổi tiếng như Spotify, Minecraft, WhatsApp cũng chứa mã độc. Những kẻ phát triển mã độc đã lợi dụng các bộ SDK không xác thực, biến các ứng dụng hữu ích thành công cụ thu thập dữ liệu và kiểm soát người dùng.

Với khả năng hoạt động ngầm và quyền kiểm soát hệ thống, Necro có thể thay đổi URL, cài đặt mã độc mới cho đến chiếm đoạt hoàn toàn quyền điều khiển thiết bị của nạn nhân.

Người dùng cần xóa ngay các ứng dụng như Wuta Camera (phiên bản bị nhiễm từ 6.3.2.148 đến 6.3.6.148) và Max Browser. Người dùng cũng nên tải và cập nhật ứng dụng từ Google Play vì chính sách kiểm duyệt ứng dụng của Google vẫn chặt chẽ nhất.