Sebuah virus berbahaya bernama Necro versi terbaru telah berhasil menyusup ke 11 juta ponsel Android melalui Google Play Store. Virus ini disebarkan secara terselubung melalui sebuah alat pengembangan aplikasi (SDK) yang digunakan oleh banyak aplikasi populer. Ini seperti memasukkan racun ke dalam makanan yang kita santap setiap hari.

Necro menginstal beberapa packet ke perangkat yang terinfeksi dan mengaktifkan berbagai plugin berbahaya, termasuk:

Adware berupa WebView yang tidak terlihat (plugin Island, Cube SDK)
Modul yang dapat mengunduh dan mengeksekusi file JavaScript dan DEX tanpa persetujuan user (Happy SDK, Jar SDK)
Tools yang digunakan untuk phising seperti (Plugin Web, Happy SDK, Plugin Tap)
Plugin yang dapat mengarahkan internet ke proxy yang tersedia (plugin NProxy)

Trojan Necro di Google Play

Antivirus Kaspersky menemukan Necro loader pada dua aplikasi di Google Play, dimana kedua aplikasi tersebut sudah banyak diinstall orang. Yang pertama adalah Wuta Camera oleh 'Benqu', sebuah alat pengeditan dan kecantikan foto dengan lebih dari 10.000.000 unduhan di Google Play.

Para ahli keamanan menemukan virus jahat bernama Necro bersembunyi di dalam aplikasi tersebut mulai dari versi 6.3.2.148 sampai versi 6.3.6.148. Untungnya, virus ini berhasil dihapus pada versi terbaru. Namun, bahaya tetap mengintai pada perangkat yang sudah terlanjur terinfeksi sebelumnya.

Selain itu, aplikasi browser Max Browser juga kena getahnya. Jutaan pengguna tidak sengaja menginstal virus Necro lewat aplikasi ini sebelum akhirnya aplikasi tersebut dihapus dari Google Play Store. Sayangnya, versi terbaru Max Browser pun masih terinfeksi, jadi sebaiknya dihapus saja dan cari browser lain yang lebih aman.

Kaspersky menemukan bahwa kedua aplikasi tersebut menggunakan alat bantu bernama Coral SDK untuk menyebarkan virus. Alat ini sangat licik karena bisa menyamarkan diri dan bahkan menyembunyikan file berbahaya di dalam gambar.

Virus yang terdapat pada aplikasi MOD di luar sumber resmi
Di luar Play Store, Necro Trojan menyebar terutama melalui versi modifikasi aplikasi populer (mod) yang didistribusikan melalui situs web tidak resmi.

Contoh penting yang ditemukan oleh Kaspersky termasuk mod WhatsApp 'GBWhatsApp' dan 'FMWhatsApp', yang dimana aplikasi tersebut menawarkan fitur lebih dari aplikasi resminya seperti dapat melihat status tanpa sepengetahuan pemilik status tersebut dan fitur-fitur lain yang melanggar privasi. Yang lainnya adalah mod Spotify, 'Spotify Plus,' yang menjanjikan akses gratis ke layanan premium tanpa harus berlangganan.

Dalam setiap serangannya, virus ini selalu melakukan tindakan yang sama: memaksa perangkat menampilkan iklan secara sembunyi-sembunyi, menginstal aplikasi lain tanpa izin pengguna, dan secara diam-diam melakukan transaksi berbayar melalui browser internal aplikasi (WebView). Karena sulit melacak jumlah unduhan dari situs-situs pihak ketiga, jumlah total perangkat yang terinfeksi virus Necro ini belum diketahui secara pasti. Namun, berdasarkan data dari Google Play saja, setidaknya 11 juta perangkat Android telah menjadi korban.