Dostawał się pod warstwę systemu. Pobrano go 2,3 miliona razy
Jak wynika z ustaleń McAfee, do sklepu Google Play trafiło złośliwe oprogramowanie NoVoice ukryte w blisko 50 aplikacjach. Programy, udające m.in. narzędzia do czyszczenia i galerie zdjęć, pobrano ok. 2,3 mln razy, zanim Google je usunęło.
Z analiz McAfee wynika, że kampania opierała się na aplikacjach, które działały zgodnie z opisem i nie prosiły o podejrzane uprawnienia. To utrudniało szybkie wychwycenie zagrożenia po stronie użytkowników. Po zgłoszeniu badaczy złośliwe programy usunięto z Google Play.
Po uruchomieniu zainfekowanej aplikacji NoVoice podejmował próbę uzyskania dostępu do uprawnień do wykonania roota, czyli zdobycia kontroli administratora nad urządzeniem. W tym celu wykorzystywał starsze luki w Androidzie z lat 2016-2021, a więc podatności sprzed kilku lat.
Chcesz liczyć kalorie? Skorzystaj z tych aplikacji!
Jak NoVoice ukrywał się w Androidzie? Pomagały pliki .png i Facebook
McAfee opisuje, że część komponentów maskowano m.in. w pakiecie o nazwie com.facebook.utils, a właściwy ładunek zaszyto w pliku PNG. Złośliwy moduł miał też usuwać pliki pośrednie, aby ograniczać ilość śladów pozostawianych w systemie.
Badacze zwrócili uwagę na rozbudowane mechanizmy ochrony samego malware. W kodzie znajdowały się kontrole pod kątem emulatorów, debuggerów oraz korzystania z sieci VPN. Dodano również kilkanaście mechanizmów weryfikujących, czy infekcja może przebiegać bez wzbudzania podejrzeń.
McAfee nie przypisało tej operacji konkretnej grupie, ale wskazało podobieństwa do trojana Triada. W analizie odnotowano też wyłączenia w kodzie, które miały zapobiegać szkodom w rejonie Pekinu i Shenzhen.
Po połączeniu z serwerem sterującym (C2) NoVoice zbierał informacje o urządzeniu: m.in. wersję Androida, poziom poprawek bezpieczeństwa oraz listę zainstalowanych aplikacji. Następnie co 60 sekund odpytywał C2 i pobierał elementy dopasowane do konkretnego telefonu, aby zwiększyć szanse na skuteczne zrootowanie systemu.
Według McAfee, po uzyskaniu roota malware potrafił podmieniać biblioteki systemowe i budować wielowarstwową trwałość infekcji, m.in. przez skrypty recovery oraz elementy umieszczone na partycji systemowej. Taki mechanizm oznaczał, że złośliwy kod mógł przetrwać nawet przywrócenie ustawień fabrycznych, bo pozostawał poza obszarem standardowego kasowania danych.
W fazie po infekcji kod atakujących miał być wstrzykiwany do każdej uruchamianej aplikacji. McAfee zaobserwowało m.in. moduł do cichej instalacji lub usuwania aplikacji oraz komponent działający w programach z dostępem do internetu.
W odzyskanym ładunku głównym celem miał być WhatsApp. McAfee opisuje, że po uruchomieniu komunikatora NoVoice pozyskiwał dane potrzebne do odtworzenia sesji ofiary, w tym bazę szyfrowania, klucze protokołu Signal oraz identyfikatory konta, takie jak numer telefonu i dane kopii Google Drive.
McAfee wskazuje, że luka wykorzystywana przez NoVoice została naprawiona przez Google w maju 2021 r. Jednocześnie podkreśla, że starsze urządzenia bez aktualizacji mogą pozostawać narażone. Osoby, które instalowały m.in. aplikację SwiftClean, powinny liczyć się z ryzykiem dla danych.
