В каталоге Google Play выявлена крупная вредоносная кампания с участием Android-трояна NoVoice. По данным McAfee, зловред скрывался более чем в 50 приложениях-«чистильщиках», фотогалереях и играх, которые суммарно скачали не менее 2,3 млн раз. На первый взгляд они корректно выполняли заявленные функции и не запрашивали подозрительных разрешений, что затрудняло их выявление пользователями.
После запуска заражённого приложения NoVoice пытался получить root-доступ, эксплуатируя уже исправленные уязвимости Android, для которых патчи выходили с 2016 по 2021 год. Исследователи зафиксировали использование 22 различных эксплойтов, включая ошибки типа use-after-free и уязвимости в драйверах графики Mali GPU. Компоненты трояна маскировались внутри пакета com.facebook.utils рядом с легитимными классами Facebook SDK, а часть полезной нагрузки была спрятана в PNG-файлах с помощью стеганографии.
После успешного получения привилегий суперпользователя NoVoice связывался с управляющим сервером, собирал подробную информацию об устройстве и подбирал сценарий дальнейшей эксплуатации. Зловред отключал защитные механизмы Android и закреплялся в системе настолько глубоко, что мог пережить даже сброс смартфона к заводским настройкам. Такой уровень персистентности делает троян особенно опасным для обычных пользователей.
Ключевой целью злоумышленников стал мессенджер WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России). Вредонос извлекал базы данных, криптографические ключи протокола Signal, идентификаторы аккаунта и номер телефона, а также данные, связанные с резервными копиями. Это позволяло атакующим клонировать сессию жертвы на своём устройстве и фактически перехватывать её общение. При этом модульная архитектура NoVoice теоретически позволяет перенастроить его и на другие популярные приложения.
Эксперты рекомендуют пользователям Android регулярно устанавливать обновления системы безопасности, загружать программы только из проверенных источников, обращать внимание на состав разработчика и отзывы, а также периодически проверять устройство специализированными антивирусными решениями. Обнаружение NoVoice показывает, что эксплуатация старых уязвимостей остаётся эффективным инструментом киберпреступников даже спустя годы после выхода официальных патчей.