Các ứng dụng độc hại có chứa Necro bao gồm: Wuta Camera – Nice Shot Always (một ứng dụng chỉnh sửa, làm đẹp ảnh) với hơn 10 triệu lượt tải xuống và Max Browser- Private & Sercurity (một ứng dụng trình duyệt) với hơn 1 triệu lượt tải xuống. Hiện Max Browser đã không còn khả dụng để có thể tải xuống từ chợ ứng dụng của Google. Tuy nhiên, phiên bản mới nhất của ứng dụng này đã được phát hành vào ngày 8/9/2024.
Hiện vẫn chưa rõ hai ứng dụng này bị phần mềm độc hại xâm nhập như thế nào ngay từ đầu, mặc ù người ta tin rằng thủ phạm chính là bộ công cụ phát triển phần mềm (SDK) độc hại dùng để tích hợp chức năng quảng cáo.
Necro lần đầu tiên được Kaspersky phát hiện vào năm 2019 khi nó ẩn trong một ứng dụng quét tài liệu phổ biến có tên là CamScanner. CamScanner sau đó đổ lỗi sự cố này là do SDK quảng cáo do bên thứ ba có tên AdHub cung cấp, trong đó có chứa mô đun độc hại để truy xuất phần mềm độc hại ở giai đoạn tiếp theo từ máy chủ từ xa. Về cơ bản, chúng hoạt động như một trình tải mọi loại phần mềm độc hại vào thiết bị của nạn nhân.
Phiên bản mới của phần mềm độc hại này không có gì khác biệt, mặc dù nó tích hợp các kỹ thuật che giấu để tránh bị phát hiện, đặc biệt là sử dụng kỹ thuật ẩn chữ để ẩn dữ liệu.
Theo nhà nghiên cứu Dmitry Kalinin của Kaspersky cho biết: “Các phần mềm độc hại được tải xuống có thể hiển thị quảng cáo trong các cửa sổ vô hình và tương tác với chúng, tải xuống và thực thi các tệp DEX tùy ý, cài đặt các ứng dụng mà chúng tải xuống”.
Mã độc cũng có thể “mở các liên kết tùy ý trong của cửa WebWiew vô hình và thực thi bất kỳ mã JavaScrip nào trong đó, chạy ngầm trong thiết bị của nạn nhân và có khả năng đăng ký các dịch vụ trả phí”.
Dữ liệu đo từ xa do Kaspersky thu thập cho thấy công ty đã chặn hơn 10.000 cuộc tấn công Necro trên toàn thế giới từ ngày 26/8 đến ngày 15/9/2024, trong đó Nga, Brazil, Việt Nam, Ecuador, Mexico, Đài Loan, Tây Ban Nha, Malaysia, Ý và Thổ Nhĩ Kỳ chiếm số lượng cuộc tấn công nhiều nhất.
Kalinin cho biết: "Phiên bản mới này là trình tải nhiều giai đoạn sử dụng thuật ẩn mã để ẩn phần tải trọng giai đoạn thứ hai, một kỹ thuật rất hiếm gặp đối với phần mềm độc hại trên thiết bị di động, cũng như khả năng che giấu để tránh bị phát hiện".
Khi được yêu cầu bình luận, người phát ngôn của Google cho biết, tất cả các phiên bản độc hại của ứng dụng liên quan Necro theo như báo cáo của Kaspersky đã bị xóa khỏi Google Play trước khi báo cáo được công bố. Người dùng Android được tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này bằng Google Play Protect, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play.