Malware periculos pe Android: aplicații compromise au infectat milioane de dispozitive
Un nou tip de malware pentru dispozitivele Android, denumit de experți „NoVoice”, a compromis peste 2,3 milioane de dispozitive prin intermediul a peste 50 de aplicații distribuite prin Google Play Store. Aplicațiile infectate, printre care se numărau utilitare, galerii foto și jocuri, funcționau normal, fără a solicita permisiuni suspecte, ceea ce a îngreunat detectarea lor de către utilizatori.
Cum funcționează atacul și ce pericole implică
Odată instalat, malware-ul începe un proces complex pentru a obține control deplin asupra telefonului. „Folosind vulnerabilități mai vechi din sistemul Android, unele corectate încă din perioada 2016–2021, NoVoice încearcă să obțină acces de tip „root”, adică cel mai înalt nivel de control asupra telefonului”, au explicat specialiștii. Atacul utilizează cod malițios integrat în componente legitime, inclusiv pachete care imită structuri ale Facebook SDK.
Payload-ul este mascat într-o imagine PNG prin tehnici de steganografie, fiind extras direct în memoria sistemului. După compromiterea inițială, malware-ul comunică cu un server de comandă și control (C2), colectând informații despre dispozitiv, inclusiv versiunea Android, aplicațiile instalate și starea de root. Pe baza acestor informații, descarcă exploit-uri specifice pentru a-și consolida accesul. Cercetătorii au identificat peste 20 de astfel de exploit-uri, inclusiv unele care vizează nucleul sistemului de operare și driverele GPU.
Infecția persistă chiar și după resetare
Cea mai gravă consecință a acestui malware este furtul de date sensibile, în special din aplicația WhatsApp. „NoVoice poate copia baze de date criptate, chei de securitate și informații de cont, suficiente pentru a clona sesiunea victimei pe un alt dispozitiv”, au subliniat cercetătorii. Cu alte cuvinte, infractorii pot accesa conversațiile utilizatorilor fără ca aceștia să știe.
Un alt aspect îngrijorător este persistența malware-ului, care supraviețuiește chiar și după un reset la setările din fabrică. Acesta se instalează în partiții ale sistemului care nu sunt șterse în mod obișnuit. Un mecanism de tip „watchdog” verifică periodic dacă toate componentele sunt active, reinstalându-le automat dacă este necesar.
Deși aplicațiile infectate au fost eliminate din Google Play, utilizatorii care le-au descărcat anterior sunt în continuare expuși riscului. Experții recomandă tratarea dispozitivelor compromise ca atare. Recomandările includ o analiză a dispozitivului cu un program de antivirus, o resetare a telefonului la setările din fabrică și o verificare a conturilor online pentru activități suspecte.
Sursa: Playtech.ro
