Масова инфекция чрез легитимни приложения

Нов Android малуер, наречен NoVoice, е открит в над 50 приложения в Google Play, които са били изтеглени поне 2.3 милиона пъти. Зловредният код е бил скрит в на пръв поглед легитимни приложения като:

• инструменти за почистване
• галерии за изображения
• мобилни игри

Приложенията не изискват подозрителни разрешения и функционират нормално, което значително затруднява откриването на заплахата от страна на потребителите.

Механизъм на заразяване и укриване

Изследователи от компанията McAfee идентифицират кампанията, като отбелязват сходства с троянеца Triada, но без категорично приписване към конкретна група.

Зловредният код използва сложна техника за укриване:

• Инжектира се в пакет, маскиран като част от Facebook SDK
• Payload-ът (enc.apk) е скрит в PNG изображение чрез стеганография
• След извличане се зарежда директно в паметта, като всички следи се изтриват

Допълнително, малуерът включва:

• над 15 проверки за емулатори, дебъгери и VPN
• географско филтриране (избягва региони като Пекин и Шънджън)

Експлоатация и придобиване на root достъп

След стартиране, NoVoice се опитва да получи root достъп, използвайки стари уязвимости в Android (пачнати в периода 2016-2021).

Използвани са поне 22 експлойта, включително:

• use-after-free уязвимости в ядрото
• проблеми в драйверите на Mali GPU

След успешна компрометация:

• деактивира се SELinux
• получава се пълен контрол върху устройството

Устойчивост и пълен контрол над системата

NoVoice внедрява многослойна rootkit архитектура, която гарантира дълготрайно присъствие:

• подмяна на системни библиотеки (libandroid_runtime.so, libmedia_jni.so)
• инсталиране на recovery скриптове
• модифициране на crash handler-а

Зловредният код се съхранява в системни дялове, които не се изтриват при factory reset, което прави инфекцията изключително трудна за премахване.

Watchdog процес проверява целостта на малуера на всеки 60 секунди и при нужда го възстановява автоматично.

Кражба на данни и компрометиране на WhatsApp

Във фазата след експлоатация, малуерът инжектира код във всички приложения. Основната му цел е кражба на чувствителни данни, като специално внимание е насочено към WhatsApp.

Извличаната информация включва:

• криптирани бази данни
• ключове от Signal протокола
• телефонен номер и данни за акаунта
• информация за Google Drive архиви

Тези данни позволяват на атакуващите да клонират сесията на жертвата и да получат пълен достъп до комуникацията ѝ.

Реакция и препоръки

Зловредните приложения вече са премахнати от Google Play след сигнал от McAfee, но устройствата, на които са били инсталирани, трябва да се считат за компрометирани.

Препоръчителни мерки:

• Актуализиране на Android до последна версия със съвременни security пачове
• Използване само на устройства с активна поддръжка
• Инсталиране на приложения само от доказани разработчици
• Мониторинг за необичайно поведение на устройството

Уязвимостите, използвани от NoVoice, са вече поправени, което означава, че актуалните устройства са значително по-защитени.

Hово ниво на мобилни заплахи

NoVoice демонстрира еволюция в мобилния малуер, комбинирайки:

• сложни техники за укриване
• автоматизирана експлоатация
• устойчивост на ниво система

Това подчертава една тревожна тенденция – дори официални магазини като Google Play не са напълно защитени, а атакуващите все по-успешно заобикалят механизмите за проверка.