Aplicații malware pentru Android, descărcate de peste 2,3 milioane de ori

Un nou tip de malware pentru dispozitivele Android, denumit NoVoice, a fost distribuit prin intermediul a peste 50 de aplicații, printre care utilitare de curățare, galerii foto și jocuri. Aceste aplicații, descărcate de cel puțin 2,3 milioane de ori, funcționau aparent normal, fără a solicita permisiuni suspecte, ceea ce a îngreunat detectarea lor de către utilizatori.

Malware-ul, identificat de specialiști în securitate cibernetică, exploatează vulnerabilități mai vechi ale sistemului de operare Android, unele corectate abia în perioada 2016-2021. Obiectivul principal al NoVoice este obținerea accesului „root”, adică a celui mai înalt nivel de control asupra telefonului. După instalare, malware-ul comunică cu un server de comandă și control (C2), colectând informații despre dispozitiv și descărcând exploit-uri specifice pentru a-și consolida accesul.

Mecanisme de atac perfide și accesul „root”

Codul malițios este integrat în componente care par legitime, inclusiv în pachete ce imită structuri ale Facebook SDK. Mai mult, malware-ul este ascuns într-o imagine PNG prin tehnici de steganografie, fiind extras direct în memoria sistemului, fără a lăsa urme evidente.

Odată ce obține acces „root”, NoVoice dezactivează mecanismele de protecție și modifică biblioteci de sistem critice. Specialiștii au identificat peste 20 de astfel de exploit-uri, inclusiv unele care vizează kernel-ul și driverele GPU. Astfel, malware-ul poate controla practic orice acțiune de pe telefon. Scopul principal este sustragerea de date sensibile de la utilizatori.

Compromiterea datelor și persistența chiar și după resetare

Cercetătorii au remarcat că WhatsApp este principala țintă a atacului. NoVoice poate copia baze de date criptate, chei de securitate și informații de cont, suficiente pentru a clona sesiunea victimei pe un alt dispozitiv. Astfel, atacatorii pot accesa conversațiile fără ca utilizatorul să își dea seama.

Mai mult, malware-ul își asigură persistența chiar și după un reset din fabrică, instalându-se în partiții ale sistemului care nu sunt șterse în mod obișnuit. Un mecanism de tip „watchdog” verifică periodic dacă toate componentele sunt active, reinstalându-le automat dacă este necesar.

Deși aplicațiile infectate au fost eliminate din Google Play, riscul rămâne pentru cei care le-au instalat deja. În astfel de cazuri, dispozitivul trebuie considerat compromis. Utilizatorii sunt sfătuiți să verifice cu atenție aplicațiile instalate și să se asigure că au instalat versiunile cele mai recente ale sistemului de operare.

Sursa: Playtech.ro