Opasan Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, gdje se skrivao unutar više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 miliona puta.
Zaražene aplikacije uglavnom su se predstavljale kao bezazleni alati – čistači sistema, galerije slika ili mobilne igre. Funkcionisale su normalno i nisu tražile sumnjive dozvole, što ih je činilo još teže uočljivim.
Nakon instalacije, malver pokušava preuzeti potpunu kontrolu nad uređajem iskorištavajući starije sigurnosne propuste u Android sistemu, koji su ranije zakrpani u periodu od 2016. do 2021. godine.
Istraživači iz kompanije McAfee nisu uspjeli utvrditi ko stoji iza ovog napada, ali su primijetili određene sličnosti s poznatim trojancem Triada. Maliciozni kod vješto je skriven unutar paketa koji imitira legitimne komponente Facebook SDK-a, čime dodatno otežava njegovo otkrivanje.
Jedna od najopasnijih tehnika koju koristi NoVoice jeste skrivanje zlonamjernog koda unutar slike. U pitanju je kriptovani APK fajl koji se nalazi u PNG formatu, a zatim se iz slike izvlači i pokreće direktno u memoriji uređaja, bez ostavljanja tragova.
Malver je dodatno opremljen naprednim metodama za izbjegavanje detekcije. Provjerava da li se pokreće na emulatoru, da li je uključen VPN ili debugger, pa čak i izbjegava djelovanje u određenim regijama poput Pekinga i Šenžena.
Kada ispuni sve uslove, uređaj se povezuje sa komandnim serverom i šalje detaljne informacije o sistemu, nakon čega se bira najefikasniji način napada. Istraživači su otkrili čak 22 različite metode za preuzimanje kontrole nad uređajem.
Jednom kada uspije dobiti root pristup, malver mijenja ključne sistemske dijelove i praktično isključuje sigurnosne mehanizme poput SELinux-a. Ono što dodatno zabrinjava jeste činjenica da NoVoice može ostati na uređaju čak i nakon fabričkog resetovanja.
U narednoj fazi napada, malver ubacuje svoj kod u aktivne aplikacije, s posebnim fokusom na WhatsApp. Cilj je krađa podataka koji omogućavaju kloniranje korisničke sesije i potpuni pristup privatnoj komunikaciji.
Google je u međuvremenu uklonio zaražene aplikacije iz svoje prodavnice, ali korisnici koji su ih ranije instalirali trebaju biti svjesni da su njihovi uređaji i podaci potencijalno ugroženi.
Stručnjaci upozoravaju da su najugroženiji stariji Android uređaji koji nemaju najnovije sigurnosne nadogradnje. Preporuka je da se koriste ažurirani telefoni i da se aplikacije instaliraju isključivo od provjerenih izvora, čak i kada dolaze iz Google Play prodavnice.
