Peste 2,3 milioane de dispozitive Android au fost infectate cu malware, după ce utilizatorii au descărcat aplicații compromise din Google Play. Campania de atac, denumită NoVoice, a permis preluarea controlului total asupra smartphone-urilor și nu putea fi eliminată prin resetarea la setările din fabrică.

Detaliile atacului NoVoice

Operațiunea NoVoice, detectată de cercetători în domeniul securității cibernetice, reprezintă una dintre cele mai persistente campanii de malware Android documentate recent. Atacatorii au exploatat vulnerabilități vechi ale sistemului de operare, pentru care fuseseră lansate patch-uri de securitate între 2016 și 2021. Aceasta înseamnă că sistemele de operare mai vechi, care nu mai primesc actualizări, au fost cele mai vulnerabile.

Aplicațiile infectate se deghizau în utilitare sau jocuri obișnuite și erau distribuite prin magazinul oficial Google Play. Conform ultimelor informații, cele 50 de aplicații identificate au acumulat peste 2,3 milioane de descărcări. Odată deschisă, o aplicație infectată se conecta în fundal la un server extern. De acolo, descărca exploit-ul potrivit modelului și versiunii de software a dispozitivului.

Malware-ul suprascria apoi o bibliotecă centrală a sistemului, permițându-i să se execute în fiecare aplicație deschisă de utilizator. Astfel, atacatorii puteau extrage date de pe dispozitiv fără ca utilizatorul să observe ceva. Codul malițios rula invizibil în fundal, integrat în funcționarea normală a telefonului.

Impactul și măsurile de precauție

Cel mai îngrijorător aspect al acestei campanii este persistența infecției. Resetarea la setările din fabrică nu elimină malware-ul. Singura soluție este reinstalarea completă a firmware-ului, o operațiune tehnică inaccesibilă majorității utilizatorilor obișnuiți.

Campania a vizat cu precădere dispozitivele vechi cu sisteme de operare care nu mai primesc actualizări de securitate. Prevalența cea mai mare a fost înregistrată în țări precum Etiopia, Algeria, Kenya și India, dar amploarea campaniei a fost globală.

Principala măsură de protecție rămâne actualizarea sistemului de operare. Dispozitivele care nu mai primesc update-uri de securitate sunt vulnerabile la exploatări cunoscute de ani de zile. Utilizatorii sunt sfătuiți să verifice periodic actualizările disponibile pentru dispozitivele lor și să instaleze versiunile cele mai recente ale sistemului de operare.

Ultima dată, au fost raportate milioane de descărcări ale aplicațiilor infectate.