Un malware numit NoVoice a fost identificat în peste 50 de aplicații din Google Play, utilizate pentru curățare, galerie foto și jocuri, care au fost descărcate de cel puțin 2,3 milioane de ori. Specialiștii de la McAfee arată că aceste aplicații funcționau normal fără a solicita permisiuni suspecte, ceea ce le-a făcut dificil de detectat de către utilizatori.

Modul de operare al malware-ului NoVoice

Odată instalat, malware-ul inițiază un proces complex pentru a obține control total asupra dispozitivului. Folosește vulnerabilități mai vechi din sistemul Android, multe dintre ele corectate înainte de 2022, pentru a încerca escaladarea privilegiilor la nivel de root. Acest lucru îi permite să aibă cel mai înalt nivel de control asupra telefonului.

Codul malițios este integrat în componente aparent legitime, inclusiv în pachete care seamănă cu Facebook SDK. Payload-ul este mascat într-o imagine PNG, pe care o extrage în memoria telefonului cu tehnici de steganografie, fără a lăsa urme evidente.

Malware-ul comunică constant cu un server de comandă și controlează, colectând informații despre dispozitiv, precum versiunea Android, aplicațiile instalate, nivelul de securitate și starea de root. La primirea datelor, descarcă exploit-uri specifice pentru a-și extinde accesul, fiind identificate peste 20 de astfel de vulnerabilități, inclusiv în kernel și driverele GPU.

După obținerea accesului root, malware-ul dezactivează mecanisme de protecție și modifică biblioteci critice de sistem, ceea ce îi permite să controleze practic orice funcție a telefonului.

Impactul asupra datelor și persistența malware-ului

Cea mai gravă consecință a atacului este furtul de date sensibile. NoVoice poate copia baze de date criptate, chei de securitate și informații de autentificare ale aplicației WhatsApp, fiind capabil să cloneze sesiunea victimei pe un alt dispozitiv.

Malware-ul asigură persistența chiar și după resetare din fabrică, deoarece se instalează în partiții ale sistemului care nu sunt șterse de reset. Un mecanism de tip „watchdog” verifică periodic dacă toate componentele infectate sunt active și le reinstalează automat dacă sunt eliminate.

Deși toate aplicațiile infectate au fost eliminate din Google Play, riscul pentru cei care le-au instalat anterior rămâne. Astfel, dispozitivele compromise trebuie considerate în continuare expuse, iar măsurile de securitate trebuie aplicate de urgență.