W Play Market znaleziono dziesiątki aplikacji z szkodliwym NoVoice, które pobrały 2,3 miliona użytkowników

Krótki opis

W Google Play Market znaleziono ponad 50 aplikacji zawierających złośliwy kod *NoVoice*.

- Wirus wykorzystuje znane luki w Androidzie (2016‑2021) do uzyskania uprawnień root.
- Pobrano go ponad 2,3 mln razy.
- Aplikacje wyglądają jak galerie zdjęć, gry i „czyszczące” utilitki – nie wymagają podejrzanych uprawnień.

Eksperci McAfee potwierdzili istnienie zagrożenia, ale nie udało się ustalić konkretnego sprawcy; wirus przypomina trojana *Triada*.

Jak działa NoVoice
Etap | Co się dzieje | Infekcja
---|---|---
Wirus | Złośliwy kod umieszczany jest w pakiecie `com.facebook✴.utils`, maskując się pod SDK Facebooka. Szyfrowana ładowność (`enc.apk`) ukryta jest wewnątrz obrazu PNG, z którego wydobywany jest plik `h.apk` i ładowany do pamięci. Następnie wszystkie tymczasowe pliki są usuwane. |
Warunek zakażenia | Jeśli urządzenie zostanie określone jako znajdujące się w Pekinie lub Shenzhen (Chiny) oraz przejdzie 15 testów pod kątem emulatorów, debugerów i VPN, proces jest zatrzymywany. W przeciwnym razie kontynuowane jest. |
Zbieranie informacji | Złośliwy kod łączy się z serwerem zdalnym i wysyła: wersję jądra, Androida, listę zainstalowanych aplikacji, status root. Zapytania powtarzane są co 60 sekund. |
Eksploity | McAfee wykryła 22 exploity (luki w jądrze, wycieki pamięci, luki w sterownikach Mali). Otwierają one shell root i wyłączają SELinux. |
Stała obecność | Po uzyskaniu root złośliwy kod zastępuje biblioteki systemowe `libandroid_runtime.so` i `libmedia_jni.so`, tworzy skrypty przywracania, podmienia obsługę błędów i zapisuje zapasową ładowność w partycji systemowej (nie jest usuwana przy resetowaniu). Co 60 sekund uruchamiany jest demon‑strażnik, który sprawdza integralność rootkita. |
Moduły funkcjonalne | 1) Ukryta instalacja/odinstalowanie aplikacji.
2) Połączenie z dowolną aplikacją internetową i kradzież danych (najczęściej z WhatsApp). Przy otwarciu komunikatora złośliwy kod pobiera bazy, klucze szyfrowania, numer telefonu oraz kopie zapasowe w Google Drive, wysyłając je na serwer kontrolny. Pozwala to sprawcom klonować sesje WhatsApp.
Modularność | Wirus może używać innych ładowności dla dowolnych aplikacji na urządzeniu. |

Ochrona
- Urządzenia zaktualizowane po maju 2021 r. nie są już podatne, ponieważ exploity zostały zamknięte.
- Google Play Protect automatycznie usuwa znalezione aplikacje i blokuje nowe instalacje.
- Użytkownikom zaleca się regularne instalowanie wszystkich dostępnych aktualizacji bezpieczeństwa.

Wniosek: *NoVoice* – złożony rootkit, wykorzystujący przestarzałe luki w Androidzie do uzyskania uprawnień root, ukrytego zakażenia i kradzieży danych z popularnych aplikacji. Ochrona jest możliwa tylko poprzez terminowe łatki i korzystanie z Play Protect.