Alertă Android: malware-ul NoVoice a infectat 2,3 milioane de telefoane prin aplicații din Google Play
Alertă pentru utilizatorii de Android. A fost descoperit un nou tip de malware, denumit NoVoice, care a afectat peste 2.3 milioane de telefoane, după ce au fost descărcate aplicaţii de pe Google Play.
Potrivit Tech Republic, acest software vizează în special dispozitivele Android mai vechi şi reuşeşte să păcălească vigilenţa.
Identificate inițial de cercetătorii de la McAfee, aplicațiile afectate au fost ulterior raportate către Google și eliminate de aceasta.
Alertă Android: malware-ul NoVoice a infectat 2,3 milioane de telefoane prin aplicații din Google Play
Deși nu au fost numiți oficial actori amenințători, comportamentul malware-ului sugerează un model familiar grupurilor de amenințări cunoscute, ceea ce a determinat noi avertismente pentru utilizatorii de Android să rămână vigilenți.
Prin construirea și implementarea de jocuri, programe de curățare și galerii de imagini cu aspect inofensiv în Magazinul Google Play, acești atacatori au reușit să ascundă comportamentul malware-ului în timpul revizuirii codului de către Google, până când cineva l-a instalat.
Citește și: În curând, și străinii îți vor vedea mesajele de pe WhatsApp. De când intră în vigoare modificarea?
Prin combinarea și livrarea efectivă a funcțiilor aplicației pe care le deghizează, malware-ul a evitat detectarea timpurie.
Cum afectează telefoanele
Odată ce o aplicație infectată este lansată, malware-ul inactiv se activează și încearcă pentru prima dată să exploateze erorile vechi ale Android corectate între 2016 și 2021, relatează BleepingComputer.
Dacă reușește să obțină acces root prin intermediul acestor vulnerabilități, malware-ul eludează apoi apărarea ascunzându-și componentele malițioase în pachete cu aspect legitim.
Apoi, extrage o utilă criptată ascunsă în fișiere aparent inofensive și o încarcă în memorie pentru execuție.
Potrivit cercetătorilor, în momentul în care este încărcat în memorie, acesta colectează identificatori specifici dispozitivului, cum ar fi detalii despre hardware, versiunile de kernel și Android, aplicațiile instalate și starea root.
Înarmat cu aceste date, contactează mai întâi un server de comandă și control (C2) și repetă procesul la fiecare 60 de secunde, primind sarcini suplimentare concepute pentru exploatări specifice dispozitivului.
În această etapă, malware-ul își propune să obțină control privilegiat, la nivel de sistem, asupra dispozitivului prin rooting.
Potrivit cercetătorilor de la McAfee, au fost observate 22 de exploatări diferite, inclusiv o eroare de kernel de tip „use-after-free”, care este și una dintre defectele remediate de Apple în aceste actualizări WebKit , și erori ale driverelor GPU.
După ce a exploatat și a reușit să rooteze dispozitivul, ceea ce dezactivează multe măsuri de securitate Android, malware-ul înlocuiește pachetele cheie Android cu propriile sale wrappere rău intenționate pentru a controla apelurile de sistem și execuția.
Citește și: O nouă escrocherie online „în numele prietenilor”. Fraza care te poate lăsa fără bani!
Pentru a stabili o persistență solidă, acest malware își instalează scripturile de recuperare și payloadurile de rezervă pe partiția de sistem a victimei.
Ideea este simplă: prin instalarea acestor scripturi acolo, nici măcar o resetare la setările din fabrică nu le poate elimina de pe dispozitiv, oferindu-i un backdoor puternic.
Pentru a-și atinge scopul final, acest malware poate instala și șterge automat aplicații, poate reporni dispozitivul pentru a-i reîncărca componentele și chiar poate fura date din aplicații extrem de securizate, cum ar fi WhatsApp și, eventual, din aplicații bancare.
Totodată, malware-ul poate extrage datele de bază ale WhatsApp și le poate folosi pentru a clona sesiunea WhatsApp pe dispozitivul atacatorului.
Cum să detectezi, să previi și să remediezi acest atac malware
După ce McAfee a raportat incidentul către Google, gigantul tehnologic a eliminat imediat site-urile web rău intenționate.
Contactat de BleepingComputer, un purtător de cuvânt al Google a confirmat că dispozitivele Android care rulează actualizări începând cu mai 2021 sunt ferite de acest atac, deoarece vulnerabilitățile exploatate de malware au patch-uri existente de mult timp.
Cu excepția categoriilor acestor aplicații, nici Google, nici McAfee, nici BleepingComputer nu au enumerat cele 50 de aplicații infectate care au fost eliminate.
Cu toate acestea, pentru a rămâne în siguranță, mențineți-vă întotdeauna dispozitivele actualizate și, atunci când instalați aplicații din Magazinul Google Play, alegeți editori cunoscuți.
În funcție de modul în care funcționează malware-ul, utilizatorii afectați vor observa probabil o descărcare excesivă a bateriei din cauza activității constante în fundal, a repornirilor bruște ale telefonului și a dispariției și reinstalării misterioase a aplicațiilor. Dacă vă aflați în această situație:
Deconectați dispozitivul de la orice rețea și duceți-l la un profesionist pentru o curățare avansată.
În plus, malware-ul vizează dispozitivele care rulează software învechit, ceea ce sugerează că dispozitivele mai vechi care nu au acces la actualizări pot prezenta un risc mai mare, potrivit Observatornews.ro
