Peste 2,3 milioane de dispozitive Android au fost infectate de o campanie de malware extrem de periculoasă, care prelua controlul total asupra telefoanelor. Aplicațiile virale, ce se deghizau în utilitare sau jocuri, au fost distribuite prin magazinul oficial Google Play. Odată instalat, malware-ul era greu de eliminat, chiar și prin resetarea la setările din fabrică ale telefonului.
Operațiunea NoVoice și Modul de Operare
Operațiunea NoVoice, detectată de cercetătorii de securitate, a exploatat vulnerabilități mai vechi ale sistemului de operare Android, pentru care fuseseră lansate patch-uri de securitate între 2016 și 2021. Aceste vulnerabilități au fost exploatate de atacatori pentru a instala programe malware pe dispozitivele victimelor. Cele peste 50 de aplicații infectate acumulaseră peste 2,3 milioane de descărcări.
La deschiderea aplicației infectate, un cod malițios se conecta la un server extern. Acolo, acesta descărca un exploit personalizat în funcție de modelul și versiunea de software a dispozitivului. Malware-ul suprascria o bibliotecă centrală a sistemului, permițându-i să ruleze în fiecare aplicație deschisă de utilizator. Astfel, atacatorii puteau extrage date sensibile, fără ca utilizatorul să observe ceva. Infecția era persistentă, resetarea la setările din fabrică nefiind suficientă pentru a elimina malware-ul.
Impactul și soluțiile posibile
Accesul atacatorilor la dispozitivele infectate era complet. Datele puteau fi extrase cu ușurință, iar codul malițios rula în fundal, integrat în funcționarea normală a telefonului. Singura soluție eficientă pentru eliminarea malware-ului este reinstalarea completă a firmware-ului, o operațiune tehnică dificilă pentru majoritatea utilizatorilor obișnuiți.
Campania NoVoice a vizat în special dispozitivele mai vechi, care nu mai primesc actualizări de securitate. Zonele cele mai afectate au fost țări precum Etiopia, Algeria, Kenya și India, dar amploarea campaniei a fost globală. Actualizarea sistemului de operare rămâne principala măsură de protecție împotriva acestui tip de atac. Dispozitivele care nu mai primesc update-uri de securitate sunt vulnerabile la exploit-uri cunoscute de ani de zile.
