Masovna infekcija
Google Play pod napadom: Preko dva miliona Android uređaja zaraženo sofisticiranim malverom koji preživljava i fabrički reset
Google Play pod napadom: Preko dva miliona Android uređaja zaraženo sofisticiranim malverom koji preživljava i fabrički reset
Više od dva miliona Android uređaja kompromitovano je preko malicioznih aplikacija koje su se našle u zvaničnoj Google Play prodavnici. Ove aplikacije, koje su se predstavljale kao alati za čišćenje sistema, galerije slika i igre, funkcionisale su naizgled normalno, bez traženja sumnjivih dozvola, što je korisnike navodilo u zabludu.
Kako djeluje malver
Nakon što se instalira, zlonamjerni softver, nazvan NoVoice, pokušava dobiti root pristup uređaju iskorištavajući poznate ranjivosti u Android sistemu koje su zakrpljene između 2016. i 2021. godine. Istraživači iz McAfee nisu uspjeli povezati ovu kampanju sa konkretnom grupom, ali su primijetili sličnosti sa ranije poznatim trojancem Triada.
Zlonamjerni kod je pažljivo skriven unutar paketa pod nazivom com.facebook.utils, gdje se miješa sa legitimnim komponentama Facebook SDK-a. Da bi dodatno prikrio svoje djelovanje, koristi tehniku steganografije – šifrirani APK fajl skriven je unutar PNG slike, zatim ekstrahovan i učitan direktno u memoriju, nakon čega se brišu svi tragovi.
Izbjegavanje detekcije i posljedice
NoVoice koristi napredne mehanizme za izbjegavanje otkrivanja. Provjerava da li se izvršava na emulatoru, da li je uključen VPN ili debugger, te izbjegava infekciju uređaja u određenim regionima poput Pekinga i Shenzhena u Kini. Ako su svi uvjeti zadovoljeni, uređaj se poveže sa komandnim serverom i šalje detaljne informacije o sistemu kako bi se odabrao odgovarajući eksploat. Istraživači su pronašli čak 22 različita eksploita.
Nakon uspješnog dobijanja root pristupa, malver mijenja ključne sistemske biblioteke i praktično onemogućava osnovne sigurnosne mehanizme poput SELinux-a. Zabrinjavajuće je da NoVoice opstaje na uređaju čak i nakon izvršenog fabričkog resetovanja. U fazi nakon infekcije, malver ubacuje kod u sve pokrenute aplikacije, s posebnim fokusom na WhatsApp, s ciljem krađe podataka potrebnih za kloniranje sesije i potpuni pristup komunikaciji žrtve.
Google je uklonio zaražene aplikacije nakon prijave, ali korisnici koji su ih ranije instalirali trebaju biti svjesni da su njihovi uređaji i podaci vjerovatno kompromitovani. Kako NoVoice cilja starije ranjivosti, uređaji sa najnovijim Android ažuriranjima nisu podložni ovom napadu. Stručnjaci preporučuju korištenje podržanih uređaja i instalaciju aplikacija isključivo od provjerenih izdavača, čak i kada dolaze iz Google Play prodavnice.
