Novi Android malver nazvan “NoVoice” otkriven je u Google Play prodavnici, gdje je bio skriven u više od 50 aplikacija koje su ukupno preuzete najmanje 2,3 miliona puta.
Zaražene aplikacije predstavljale su se kao alati za čišćenje sistema, galerije fotografija ili mobilne igre. Funkcionisale su naizgled normalno i nijesu zahtijevale sumnjive dozvole, zbog čega su korisnici teško mogli da posumnjaju da je riječ o malicioznom softveru.
Nakon instalacije, malver pokušava da dobije root pristup uređaju koristeći stare Android ranjivosti koje su zakrpljene u periodu između 2016. i 2021. godine. Istraživači iz kompanije McAfee naveli su da nijesu uspjeli da povežu kampanju sa konkretnom grupom napadača, ali su primijetili određene sličnosti sa trojancem Triada.
Maliciozni kod skriven je unutar paketa pod nazivom “com.facebook.utils”, gdje se prikriva među legitimnim komponentama Facebook SDK-a. Glavni payload dodatno je sakriven tehnikom steganografije – kriptovani APK fajl “enc.apk” nalazi se unutar PNG slike, odakle se izvlači i učitava direktno u memoriju uređaja, brišući pritom tragove svog postojanja.
Malver koristi i napredne metode za izbjegavanje detekcije. Provjerava da li se pokreće na emulatoru, da li je aktivan VPN ili debugger, kao i geografsku lokaciju uređaja. Infekcija se ne aktivira u pojedinim regionima, uključujući Peking i Šenžen u Kini.
Ako su svi uslovi zadovoljeni, uređaj se povezuje sa komandno-kontrolnim (C2) serverom i šalje detaljne informacije o sistemu kako bi napadači izabrali odgovarajući exploit. Istraživači su identifikovali čak 22 različita exploita koja malver može koristiti.
Nakon uspješnog preuzimanja kontrole nad uređajem, NoVoice mijenja ključne sistemske biblioteke i praktično isključuje osnovne bezbjednosne mehanizme poput SELinux-a.
Posebno zabrinjava činjenica da malver može ostati na uređaju čak i nakon fabričkog resetovanja.
U fazi nakon infekcije, malver ubacuje svoj kod u sve pokrenute aplikacije, a posebno cilja WhatsApp. Cilj je krađa podataka potrebnih za kloniranje korisničke sesije kako bi napadači dobili potpuni pristup komunikaciji žrtve.
Google je u međuvremenu uklonio zaražene aplikacije iz Play prodavnice, ali stručnjaci upozoravaju da korisnici koji su ih ranije instalirali moraju računati na to da su njihovi uređaji i podaci potencijalno kompromitovani.
Pošto NoVoice koristi stare ranjivosti Android sistema, noviji i redovno ažurirani uređaji uglavnom nijesu podložni ovom napadu. Stručnjaci savjetuju korišćenje podržanih uređaja i instaliranje aplikacija isključivo od provjerenih izdavača, čak i kada dolaze iz Google Play prodavnice.
Izvor: Nezavisne
Foto: Getty images
