Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 miliona puta.
Maliciozne aplikacije su se predstavljale kao čistači sistema, galerije slika i igre, pružajući obećane funkcionalnosti bez traženja sumnjivih dozvola.
Nakon infekcije, malver pokušava da dobije root pristup iskorišćavanjem starih Android ranjivosti zakrpljenih između 2016. i 2021. godine. Istraživači kompanije McAfee nisu uspjeli da povežu kampanju sa konkretnim akterom, ali su primijetili sličnosti sa trojancem Triada.
Maliciozni kod je sakriven unutar paketa com.facebook.utils, gdje se prikriva miješanjem sa legitimnim komponentama Facebook SDK-a. Payload je dodatno prikriven tehnikom steganografije — kriptovani APK (enc.apk) skriva se unutar PNG slike, zatim se ekstrahuje i učitava direktno u memoriju, uz brisanje svih tragova.
Napad uključuje i sofisticirane mehanizme izbjegavanja detekcije: malver provjerava da li se izvršava na emulatoru, da li se koristi VPN ili debugger, i izbjegava infekciju u određenim regionima poput Pekinga i Šenžena u Kini. Ukoliko su svi uslovi zadovoljeni, uređaj se povezuje sa C2 serverom i šalje detaljne informacije o sistemu kako bi se odabrao odgovarajući exploit. Istraživači su identifikovali čak 22 različita exploita, prenosi B92.
Nakon uspješnog root-ovanja, malver mijenja ključne sistemske biblioteke i praktično isključuje osnovne bezbjednosne mehanizme poput SELinux-a.
NoVoice opstaje čak i nakon fabričkog resetovanja uređaja.
Tokom faze nakon eksploatacije, malver ubacuje kod u sve pokrenute aplikacije, a poseban fokus stavlja na WhatsApp. Cilj je krađa podataka potrebnih za kloniranje sesije, da bi napadači dobili kompletan pristup komunikaciji žrtve.
Google je uklonio zaražene aplikacije nakon prijave, ali korisnici koji su ih ranije instalirali treba da računaju da su njihovi uređaji i podaci kompromitovani.
Kako NoVoice cilja starije ranjivosti, noviji redovno ažurirani uređaji nisu podložni ovom napadu. Stručnjaci preporučuju korišćenje podržanih Android uređaja i instalaciju aplikacija isključivo od provjerenih izdavača, čak i kada dolaze sa Google Play.
(N.N)
