В Google Play выявили кампанию NoVoice: более 2,3 млн Android-устройств под угрозой перманентного взлома
В магазине Google Play обнаружена крупная кампания распространения Android-вредоноса NoVoice. По данным McAfee, вредоносный код был встроен более чем в 50 приложений-очистителей, игр и фотогалерей, которые суммарно установили не менее 2,3 млн раз. Такие программы корректно выполняли заявленные функции и не вызывали подозрений, но параллельно пытались захватить полный контроль над устройством.
NoVoice эксплуатировал набор уязвимостей Android, исправленных в период с 2016 по 2021 год, стремясь получить root-доступ. Исследователи насчитали 22 различных эксплойта, включая ошибки типа use-after-free в ядре и уязвимости драйвера Mali GPU. В случае успешной атаки малварь отключала SELinux, подменяла ключевые системные библиотеки и внедряла хуки, перехватывающие системные вызовы и перенаправляющие выполнение на вредоносный код.
Вредоносная нагрузка маскировалась в пакете com.facebook.utils и была зашифрована внутри PNG-файлов, откуда извлекалась с помощью стеганографии. Перед активацией NoVoice проводил до 15 проверок на наличие эмуляторов, отладчиков, VPN и отдельных регионов (в частности, Пекин и Шэньчжэнь), чтобы усложнить анализ. Каждые 60 секунд малварь связывалась с управляющим сервером, собирала данные об устройстве, подгружала подходящие под конкретную конфигурацию эксплойты и обновляла модули.
После закрепления NoVoice устанавливал руткит с несколькими механизмами выживаемости: скрипты восстановления, подмену обработчика системных сбоев и резервные пейлоады в системном разделе. Поскольку этот раздел не очищается при обычном сбросе к заводским настройкам, заражение могло сохраняться даже после полного «ресета». Отдельный демон каждые 60 секунд проверял целостность компонентов и при необходимости восстанавливал их или принудительно перезагружал смартфон.
На этапе постэксплуатации вредонос внедрялся в каждое запускаемое приложение. Особый интерес операторов представлял мессенджер WhatsApp*: NoVoice извлекал зашифрованные базы данных, ключи протокола Signal, номер телефона и данные бэкапа Google Drive, передавая их на управляющий сервер. Это позволяло злоумышленникам клонировать сессию мессенджера на своем устройстве и получить доступ к переписке. Исследователи отмечают модульную архитектуру NoVoice: та же инфраструктура может быть использована и для атак на другие популярные приложения.
Google уже удалил выявленные вредоносные программы из Google Play и блокирует их повторную установку. Компания подчёркивает, что устройства, получившие системные обновления после мая 2021 года, защищены от задействованных в кампании эксплойтов, однако пользователям старых версий Android рекомендуют считать свои устройства и данные скомпрометированными и как можно скорее установить актуальные патчи безопасности.
* Заблокирован в РФ. Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена в России.
