أفاد باحثون أنهم وجدوا تطبيقين جديدين تم تحميلهما من غوغل بلاي 11 مليون مرة، مصابين بنفس عائلة البرامج الضارة. ويعتقد الباحثون من كاسبيرسكي أن مجموعة أدوات تطوير البرامج الضارة لدمج قدرات الإعلان هي المسؤولة مرة أخرى.

مجموعة أدوات تطوير البرامج، المعروفة باسم SDK، هي تطبيقات توفر للمطورين أطر عمل يمكنها تسريع عملية إنشاء التطبيق بشكل كبير من خلال تبسيط المهام المتكررة. وعند سوء استخدامها، يمكن أن تدعم وحدة SDK غير الموثوقة ظاهريًا عرض الإعلانات. لكن خلف الكواليس، تقدم مجموعة من الأساليب المتقدمة للاتصال الخفي مع الخوادم الضارة، حيث تقوم بتحميل بيانات المستخدم وتنزيل التعليمات البرمجية الضارة وتحديثها في أي وقت. وتُعرف عائلة البرامج الضارة الخفية في كلتا هذه باسم Necro. لكن هذه المرة، تستخدم بعض المتغيرات تقنيات مثل التخفي، وهي طريقة تعتيم نادرًا ما تُرى في البرامج الضارة المشابهة.

وبمجرد إصابة الأجهزة بهذا البرنامج الضار، فإنها تتصل بخادم الأوامر والتحكم الذي يتحكم فيه المهاجم، وترسل طلبات ويب تحتوي على بيانات مشفرة تبلغ عن معلومات حول كل جهاز مخترق.

وأوضح الباحثون أن وحدة SDK الضارة تستخدم برمجية تخفي بسيطة للغاية، لكنها فعالة جدًا. كذلك تقوم البرمجية بتنزيل حمولات لاحقة يتم تثبيتها، تعمل بدورها على تنزيل مكونات إضافية ضارة يمكن خلطها ومطابقتها لكل جهاز مصاب على حدة، لأداء مجموعة متنوعة من الإجراءات المختلفة.

وجد الباحثون برامج Necro في تطبيقين على غوغل بلاي. وكان أحد هذه التطبيقات هو Wuta Camera، وهو تطبيق تم تنزيله 10 ملايين مرة حتى الآن.

وتحتوي إصدارات Wuta Camera على SDK ضار يصيب التطبيقات. وقد تم تحديث هذا التطبيق لإزالة المكون الضار. كما أصيب تطبيق منفصل تم تنزيله حوالي مليون مرة يُعرف باسم Max Browser، ولم يعد هذا التطبيق متاحًا في غوغل بلاي.

كذلك، وجد الباحثون أن Necro يصيب مجموعة متنوعة من تطبيقات أندرويد المتوفرة في الأسواق البديلة. وفي غالب الحالات، تروج هذه التطبيقات لنفسها على أنها إصدارات معدلة من تطبيقات شرعية مثل واتساب وغيرها. وأكد الباحثون على أنه يجب على الأشخاص الذين يشعرون بالقلق من احتمال إصابتهم بـ Necro التحقق من تطبيقاتهم، والاعتماد على تطبيقات مكافحة الموثوقة لحماية أجهزتهم.