Peste 2,3 milioane de telefoane Android compromise

Un val de aplicații Android infectate cu malware a fost identificat în Google Play Store, expunând peste 2,3 milioane de utilizatori la riscuri majore de securitate, potrivit Adevărul. Malware-ul, denumit NoVoice, a fost descoperit în 50 de aplicații care au reușit să treacă de sistemele de verificare ale Google, vizând în special dispozitivele Android neactualizate.

Malware-ul NoVoice a trecut de filtrele Google Play și a vizat dispozitivele vulnerabile

Potrivit TechRepublic, NoVoice a fost descărcat de peste 2,3 milioane de ori, fiind integrat în aplicații aparent inofensive precum jocuri, aplicații de curățare sau galerii foto. Aceste aplicații ofereau funcționalitățile promise, ceea ce a permis malware-ului să evite detectarea în timpul procesului de verificare al Google Play Store.

Cercetătorii de la McAfee au identificat pentru prima dată prezența malware-ului, iar după raportarea incidentului, Google a eliminat aplicațiile afectate. Deși autorii atacului nu au fost identificați oficial, comportamentul malware-ului indică un tipar familiar unor grupuri cunoscute de hackeri, ceea ce a determinat noi avertismente pentru utilizatorii Android.

Odată instalată, aplicația infectată activează malware-ul care încearcă să exploateze vulnerabilități Android remediate între 2016 și 2021, potrivit BleepingComputer. Dacă reușește să obțină acces root, malware-ul ascunde componentele malițioase în pachete ce par legitime și extrage cod criptat din fișiere aparent inofensive, încărcându-l în memorie pentru execuție.

Cercetătorii au observat că malware-ul colectează identificatori specifici dispozitivului, inclusiv detalii hardware, versiunea kernelului și a Androidului, lista aplicațiilor instalate și statusul root. Aceste date sunt transmise către un server de comandă și control (C2), procesul repetându-se la fiecare 60 de secunde, pentru a primi instrucțiuni suplimentare adaptate fiecărui dispozitiv.

Scopul principal al atacului este obținerea controlului complet asupra sistemului prin rootarea dispozitivului. McAfee a identificat 22 de exploit-uri diferite folosite, inclusiv vulnerabilități ale kernelului și ale driverelor GPU. După compromiterea dispozitivului, malware-ul înlocuiește pachete Android esențiale cu versiuni modificate, pentru a controla execuția sistemului.

Google a confirmat, printr-un purtător de cuvânt, că dispozitivele Android actualizate după mai 2021 sunt protejate, deoarece vulnerabilitățile exploatate au fost deja remediate. Utilizatorii afectați pot observa consum excesiv de baterie, reporniri neașteptate și dispariția sau reinstalarea misterioasă a aplicațiilor.