Нов „Android“ малвер наречен „NoVoice“ е откриен во „Google Play“ продавницата, скриен во повеќе од 50 апликации кои заедно се преземени најмалку 2,3 милиони пати.
Малициозните апликации се претставувале како алатки за чистење на системот, галерии за слики и игри, нудејќи ги ветените функционалности без да бараат сомнителни дозволи.
По инфекцијата, малверот се обидува да добие „root“ пристап преку искористување на стари ранливости на „Android“, закрпени во периодот од 2016 до 2021 година. Истражувачите од компанијата „McAfee“ не успеале да ја поврзат кампањата со конкретен актер, но забележале сличности со тројанецот „Triada“.
Малициозниот код е скриен во пакетот „com.facebook.utils“, каде се прикрива со мешање со легитимни компоненти од „Facebook SDK“. „Payload“-от дополнително е скриен со техника на стеганографија – криптиран „APK“ (enc.apk) се крие во „PNG“ слика, по што се извлекува и директно се вчитува во меморијата, со бришење на сите траги.
Нападот вклучува и софистицирани механизми за избегнување детекција: малверот проверува дали се извршува на емулатор, дали се користи „VPN“ или „debugger“, и избегнува инфекција во одредени региони како Пекинг и Шенжен во Кина. Доколку сите услови се исполнети, уредот се поврзува со „C2“ сервер и испраќа детални информации за системот со цел да се избере соодветен „exploit“. Истражувачите идентификувале дури 22 различни „exploit“-и, пренесува „B92“.
По успешно добивање „root“ пристап, малверот менува клучни системски библиотеки и практично ги исклучува основните безбедносни механизми како „SELinux“.
„NoVoice“ опстојува дури и по фабричко ресетирање на уредот.
Во фазата по експлоатација, малверот вметнува код во сите активни апликации, а посебен фокус става на „WhatsApp“. Целта е кражба на податоци потребни за клонирање на сесијата, со што напаѓачите добиваат целосен пристап до комуникацијата на жртвата.
„Google“ ги отстрани заразените апликации по пријавата, но корисниците кои претходно ги инсталирале треба да сметаат дека нивните уреди и податоци се компромитирани.
Бидејќи „NoVoice“ таргетира постари ранливости, поновите и редовно ажурирани уреди не се подложни на овој напад. Експертите препорачуваат користење на поддржани „Android“ уреди и инсталирање апликации исклучиво од проверени издавачи, дури и кога доаѓаат од „Google Play“.
