Avertisment: Malware periculos pentru Android, răspândit prin zeci de aplicații compromise
Un nou tip de malware pentru Android, denumit de experți „NoVoice”, infectează telefoanele prin intermediul unor aplicații aparent inofensive. Potrivit specialiștilor, software-ul malițios a fost distribuit prin peste 50 de aplicații diferite, inclusiv instrumente de curățare a telefonului, galerii foto și jocuri. Aplicațiile infectate au fost descărcate de cel puțin 2,3 milioane de ori, înainte de a fi eliminate din Google Play.
Un aspect îngrijorător este faptul că aplicațiile funcționau normal și nu solicitau permisiuni suspecte, ceea ce făcea aproape imposibilă identificarea lor de către utilizatorii obișnuiți. Odată instalat, malware-ul începea un proces complex pentru a obține control total asupra telefonului. NoVoice folosește vulnerabilități mai vechi din sistemul de operare Android, unele corectate chiar din 2016-2021, pentru a obține acces de tip „root”, adică cel mai înalt nivel de control asupra telefonului.
Cum funcționează malware-ul și ce riscuri implică
Atacul este conceput să fie extrem de ascuns. Codul malițios este integrat în componente care par legitime, inclusiv în pachete care imită structuri ale Facebook SDK. Mai mult, programul este ascuns într-o imagine PNG prin tehnici de steganografie, fiind extras ulterior direct în memoria sistemului, fără a lăsa urme evidente.
După compromiterea inițială, malware-ul comunică constant cu un server de comandă și control (C2), colectând informații detaliate despre dispozitiv: versiunea Android, aplicațiile instalate, nivelul de securitate și chiar starea de root. În funcție de aceste date, descarcă exploit-uri specifice pentru a-și consolida accesul. Specialiștii au identificat peste 20 de astfel de exploit-uri, inclusiv unele care vizează nucleul și driverele GPU.
Odată ce reușește să obțină acces root, NoVoice dezactivează mecanisme esențiale de protecție și modifică biblioteci de sistem critice, ceea ce îi permite să controleze practic orice acțiune de pe telefon.
Furt de date sensibile și capacitatea de a rezista la resetarea din fabrică
Cea mai gravă consecință apare în etapa finală, când malware-ul începe să extragă date sensibile din aplicațiile utilizatorului. Cercetătorii au observat că ținta principală este WhatsApp, una dintre cele mai populare aplicații de mesagerie. NoVoice poate copia baze de date criptate, chei de securitate și informații de cont, suficiente pentru a clona sesiunea victimei pe un alt dispozitiv. Practic, atacatorii pot accesa conversațiile fără ca utilizatorul să își dea seama.
Și mai problematic este faptul că malware-ul își asigură persistența chiar și după un reset din fabrică. Acesta se instalează în partiții ale sistemului care nu sunt șterse în mod obișnuit, iar un mecanism de tip „watchdog” verifică periodic dacă toate componentele sunt active, reinstalându-le automat dacă este nevoie. În astfel de cazuri, dispozitivul trebuie considerat compromis.
Deși aplicațiile infectate au fost eliminate din Google Play, riscul rămâne pentru utilizatorii care le-au instalat deja. Experții în securitate informatică recomandă utilizatorilor să verifice cu atenție aplicațiile instalate pe dispozitivele lor și să le elimine pe cele suspecte, precum și să își actualizeze sistemul de operare la cea mai recentă versiune.
Sursa: Playtech.ro
