Alertă de atac cibernetic. Malware-ul NoVoice infectează 2.300.000 de telefoane și fură conturile WhatsApp
Experții în securitate cibernetică avertizează cu privire la un malware numit NoVoice care a infectat peste 2,3 milioane de dispozitive prin intermediul aplicațiilor Google Play și poate fura date WhatsApp.
Un malware pentru Android numit NoVoice , detectat pe Google Play , a reușit să infecteze nu mai puțin de 2,3 milioane de dispozitive.
Mai exact, amenințarea era ascunsă în peste 50 de aplicații, inclusiv programe de curățare, galerii de imagini și jocuri. Toate aceste aplicații ofereau funcționalitatea promisă și nu solicitau permisiuni suspecte, ceea ce facilita descărcarea lor în masă.
Hackerii dau noi atacuri: Malware-ul NoVoice infectează 2.300.000 de telefoane și fură conturile WhatsApp
Malware-ul a încercat să obțină acces root exploatând vulnerabilități vechi de pe Android. Cercetătorii de la firma de securitate cibernetică McAfee au descoperit operațiunea, deși nu au reușit să o lege de un anumit actor amenințător. Procesul de infectare era sofisticat, deoarece componentele rău intenționate erau ascunse în clase legitime ale SDK-ului Facebook.
În plus, o sarcină utilă criptată a fost ascunsă în imaginile PNG folosind steganografia. Aceasta a fost extrasă în memoria sistemului, ștergând în același timp toate fișierele intermediare pentru a șterge orice urmă.
Citește și: O nouă escrocherie online „în numele prietenilor”. Fraza care te poate lăsa fără bani!
McAfee a detectat 22 de vulnerabilități utilizate de NoVoice, inclusiv erori de kernel și vulnerabilități ale driverului GPU Mali. Acestea au permis atacatorilor să obțină acces root, să dezactiveze securitatea SELinux și să înlocuiască bibliotecile de sistem critice.
Malware-ul și-a menținut persistența chiar și după o resetare la setările din fabrică, prin scripturi de recuperare, înlocuirea handlerului de erori al sistemului și stocarea sarcinilor utile în partiția de sistem. În faza post-exploatare, NoVoice a injectat cod malițios în toate aplicațiile, concentrându-se o mare parte a atacurilor sale asupra WhatsApp.
Citește și: Cum poți ”bloca” o escrocherie prin telefon? Cuvintele pe care trebuie să le spui când răspunzi
Malware-ul a colectat baze de date criptate, chei de protocol Signal și detalii ale contului, permițând atacatorilor să cloneze sesiuni WhatsApp pe alte dispozitive.
Google a eliminat aplicațiile rău intenționate în urma notificării primite de la McAfee. Cu toate acestea, utilizatorii care le-au instalat anterior ar trebui să considere că dispozitivele lor sunt compromise. Actualizarea la versiuni recente de Android atenuează această amenințare, scrie presa de specialitate.
