Malware ukryty w obrazku. 2,3 miliona pobrań
Do sklepu Google Play w blisko 50 aplikacjach trafiło złośliwe oprogramowanie NoVoice. Złośliwy kod próbował przejmować uprawnienia do rootowania systemu i wykorzystywał luki będące w Androidzie przed dekadą.
Z ustaleń McAfee wynika, że NoVoice rozprowadzano w blisko 50 aplikacjach udających m.in. programy czyszczące pliki, galerie zdjęć i gry. Te pobrano blisko 2,3 miliona razy ze sklepu Google Play. Programy działały zgodnie z opisem i nie żądały podejrzanych uprawnień, co utrudniało szybkie wykrycie. Złośliwe aplikacje z NoVoice usunięto z Google Play po zgłoszeniu McAfee.
Po uruchomieniu zainfekowanej aplikacji malware próbowało uzyskać dostęp do rootu, korzystając ze starych luk Androida z lat 2016-2021. Badacze nie przypisali operacji konkretnej grupie, ale wskazali podobieństwa do trojana Triada. Zaznaczyli też, że w kodzie były uwzględnione wyłączenia, by nie dokonywano szkód w rejonie Pekinu i Shenzhen, a także dodano 15 mechanizmów sprawdzających, czy malware może infekować bez wykrycia.
Chcesz liczyć kalorie? Skorzystaj z tych aplikacji!
NoVoice kradł dane z Whatsappa, a chował się w pliku .png
McAfee opisuje ukrywanie komponentów m.in. w pakiecie com.facebook.utils oraz ładunek zaszyty w pliku PNG. Złośliwy moduł miał usuwać pliki pośrednie, by ograniczać ślady, a także wykonywać kontrole pod kątem emulatorów, debuggerów i sieci VPN.
Po kontakcie z serwerem sterującym (C2) malware zbierało dane o urządzeniu, m.in. wersję Androida, poziom poprawek i listę aplikacji. Następnie co 60 sekund odpytywało C2 i pobierało elementy dopasowane do konkretnego telefonu, aby skuteczniej uzyskać roota.
McAfee wskazuje, że po zrootowaniu NoVoice podmieniało biblioteki systemowe i budowało wielowarstwową trwałość infekcji, m.in. przez skrypty recovery oraz elementy na partycji systemowej. To oznaczało, że złośliwy kod mógł przetrwać nawet przywrócenie ustawień fabrycznych, bo znajdował się poza obszarem kasowania.
W fazie po infekcji kod atakujących miał być wstrzykiwany do każdej uruchamianej aplikacji. McAfee zaobserwowało m.in. moduł do cichej instalacji lub usuwania aplikacji oraz komponent działający w aplikacjach z dostępem do internetu; w odzyskanym ładunku głównym celem był WhatsApp.
Przy uruchomieniu WhatsApp malware wyciągało dane potrzebne do odtworzenia sesji ofiary, w tym bazy szyfrowania, klucze protokołu Signal oraz identyfikatory konta (np. numer telefonu i dane kopii Google Drive). Te informacje trafiały na C2, co miało pozwolić na sklonowanie sesji.
Wasze urządzenia powinny być bezpieczne, bo Google naprawiło tę lukę w maju 2021 roku. Jeśli jednak jesteście w posiadaniu starszego urządzenia bez aktualizacji, najbezpieczniej jest zrezygnować z jego dostępu do sieci. Jeśli instalowaliście między innymi aplikację SwiftClean, wasze dane mogą być zagrożone.
Michał Mielnik, dziennikarz Wirtualnej Polski
