Malware-ul NoVoice: O amenințare persistentă pentru utilizatorii Android
Un nou tip de malware, denumit NoVoice, a fost detectat pe dispozitivele Android. Acesta se camuflează în aplicații aparent inofensive, ajungând chiar în magazinul oficial Google Play. Odată instalat, malware-ul poate prelua controlul complet al telefonului, furând date sensibile și instalând alte aplicații.
Cum funcționează atacul
NoVoice utilizează metode sofisticate pentru a ocoli mecanismele de securitate. Atacatorii au ascuns codul malițios, astfel încât acesta să devină activ doar după instalarea aplicației. Malware-ul exploatează vulnerabilități Android corectate între anii 2016 și 2021.
Dacă reușește să obțină acces root la dispozitiv, NoVoice ascunde componentele sale în fișiere aparent legitime. Ulterior, extrage informații despre hardware, versiunea de Android și aplicațiile instalate. De asemenea, se conectează la un server de comandă și control (C2), primind instrucțiuni noi la fiecare 60 de secunde.
Riscurile pentru utilizatori
Odată ce malware-ul preia controlul complet al dispozitivului, poate instala și șterge aplicații, precum și fura date din aplicații securizate, inclusiv WhatsApp sau aplicații bancare. Atacatorii pot clona sesiuni WhatsApp, având acces la conversațiile utilizatorilor.
Cercetătorii au identificat 22 de exploatări utilizate de NoVoice, inclusiv vulnerabilități de tip „use-after-free” și erori ale driverelor GPU. Malware-ul instalează scripturi pe partiția de sistem, ceea ce îl face dificil de eliminat, chiar și prin resetarea telefonului la setările din fabrică.
Pentru a se proteja, utilizatorii sunt sfătuiți să mențină dispozitivele Android actualizate și să descarce aplicații doar de la dezvoltatori de încredere. Semnele unei posibile infecții includ descărcarea rapidă a bateriei, reporniri neobișnuite ale telefonului și apariția sau dispariția misterioasă a aplicațiilor instalate. Experții avertizează că utilizatorii de dispozitive mai vechi, care nu mai primesc actualizări, sunt cei mai expuși riscurilor.
Conform informațiilor disponibile, Google a eliminat aplicațiile infectate din Play Store. Un purtător de cuvânt al companiei a declarat că dispozitivele actualizate începând cu mai 2021 sunt protejate, deoarece vulnerabilitățile exploatate au fost deja reparate.
