Alertă Android – peste 2,3 milioane de telefoane infectate cu malwareul NoVoice
Un nou tip de malware, denumit NoVoice, a infectat peste 2,3 milioane de telefoane la nivel global. Virusul s-a propagat prin intermediul a 50 de aplicații descărcate direct din magazinul oficial Google Play, deghizate în jocuri, programe de curățare sau galerii de imagini.
Amenințarea vizează în special dispozitivele Android mai vechi, care nu mai primesc actualizări de securitate.
Un mecanism de atac complex și persistent
Cercetătorii de la McAfee, care au descoperit malware-ul, explică modul de operare. Atacatorii au publicat în Google Play aplicații cu funcționalități legitime, pentru a trece de filtrele de securitate ale Google. Comportamentul malițios era inactiv în timpul procesului de revizuire a codului și se activa doar după ce utilizatorul instala și lansa aplicația pe telefonul său.
Recomandăride aplicații Android frauduloase au înșelat peste 7 milioane de utilizatori. Risc global de securitate.Odată activat, NoVoice încearcă să exploateze o serie de erori vechi ale sistemului Android, corectate de producător între 2016 și 2021. Potrivit analizei tehnice, au fost identificate 22 de exploatări diferite, inclusiv o eroare de kernel de tip „use-after-free” și diverse breșe în driverele GPU. Scopul acestui prim pas este obținerea accesului la nivel de sistem, cunoscut ca „rooting”.
Dacă reușește, malware-ul dezactivează practic o mare parte din măsurile de securitate ale Android.
Apoi, își ascunde componentele malițioase în pachete cu denumiri care par legitime, pentru a evita detecția. Extrage o componentă criptată din fișiere aparent inofensive și o încarcă direct în memoria dispozitivului pentru execuție. Din acel moment, colectează identificatori specifici telefonului, cum ar fi detalii hardware, versiunea de kernel și Android, lista de aplicații instalate și starea root. Cu aceste date, contactează un server de comandă și control (C2) la fiecare 60 de secunde, așteptând sarcini suplimentare, personalizate pentru fiecare dispozitiv în parte.
RecomandăriEscrocheria CallPhantom pacaleste 7 milioane de utilizatori. Google sterge 28 de aplicatii AndroidDar cea mai periculoasă caracteristică este persistența sa. Pentru a se asigura că rămâne pe dispozitiv, NoVoice își instalează scripturi de recuperare și fișiere de rezervă direct pe partiția de sistem. Această metodă îl face extrem de greu de eliminat, deoarece nici măcar o resetare completă la setările din fabrică nu poate șterge fișierele de pe acea partiție, oferindu-i un „backdoor” permanent.
Ce date poate fura și cum ne protejăm
După ce preia controlul total, malware-ul poate executa o serie de acțiuni fără știrea utilizatorului. Poate instala și șterge automat aplicații, poate reporni forțat dispozitivul pentru a-și reîncărca componentele și poate fura date sensibile. Analiza McAfee arată că NoVoice poate extrage datele de bază ale aplicației WhatsApp și le poate folosi pentru a clona sesiunea de comunicare pe un dispozitiv controlat de atacator.
Deși nu a fost confirmat, există riscul ca o tehnică similară să fie folosită și pentru a extrage informații din aplicații bancare.
RecomandăriAlertă teroristă severă în Marea Britanie. Guvernul a deblocat de urgență 25 de milioane de lireGoogle a reacționat prompt după raportul primit de la McAfee și a eliminat cele 50 de aplicații infectate din Google Play, blocând și site-urile web asociate. totusi, lista completă a aplicațiilor compromise nu a fost făcută publică, nici de Google, nici de McAfee sau de publicația BleepingComputer, care a investigat subiectul.
Un purtător de cuvânt al Google a confirmat că dispozitivele care au primit actualizări de securitate începând cu luna mai 2021 sunt protejate. Vulnerabilitățile pe care se bazează NoVoice au fost remediate de mult timp. Utilizatorii care au telefoane mai vechi, care nu mai beneficiază de suport software, rămân însă expuși.
Semnele unei posibile infecții includ o descărcare excesivă a bateriei din cauza activității constante din fundal, reporniri bruște ale telefonului și dispariția sau reinstalarea misterioasă a unor aplicații. Dacă un utilizator se confruntă cu aceste probleme, recomandarea specialiștilor este să deconecteze imediat dispozitivul de la orice rețea și să îl ducă la un centru de service specializat pentru o curățare avansată.
