Opasan novi virus se krije u popularnim aplikacijama: 2,3 miliona Androida već zaraženo
Novi malver pod nazivom NoVoice pronađen je u više od 50 aplikacija na Google Play prodavnici, koje su preuzete više od 2,3 miliona puta. Na prvi pogled, ove aplikacije delovale su bezopasno - nudile su čišćenje sistema, galerije slika i razne igre, i nisu tražile sumnjive dozvole.
Ipak, iza kulisa se krije sofisticirani maliciozni kod koji pokušava da preuzme kontrolu nad uređajem. Stručnjaci ističu da su se napadači oslanjali na stare ranjivosti Android sistema iz perioda od 2016. do 2021. godine, što čini starije uređaje posebno ranjivim.
Od Facebook SDK-a do steganografije
NoVoice se vešto skriva unutar paketa com.facebook.utils, mešajući se sa legitimnim komponentama Facebook SDK-a. Osim toga, malver koristi steganografiju - kriptovani APK se skriva unutar PNG slike, a zatim se direktno učitava u memoriju uređaja.
Ovaj metod omogućava malveru da ostane neprimećen od antivirusnih programa i drugih bezbednosnih mehanizama. Svaki trag njegovog prisustva na uređaju se briše nakon izvršenja, što otežava detekciju čak i iskusnim stručnjacima.
Inteligentna detekcija i izbegavanje kontrole
NoVoice uključuje sofisticirane tehnike za izbegavanje analize. Malver proverava da li se izvršava na emulatoru, da li je prisutan VPN ili debugger, i izbegava infekciju u određenim regionima, uključujući Peking i Šenžen u Kini.
Ako su svi uslovi zadovoljeni, uređaj se povezuje sa komandno-kontrolnim serverom, šaljući detaljne informacije o sistemu kako bi napadači odabrali pravi exploit. Do sada je identifikovano čak 22 različita metoda iskorišćavanja ranjivosti.
Potpuna kontrola uređaja i krađa podataka
Nakon uspešnog root-ovanja, NoVoice menja ključne sistemske biblioteke i onemogućava osnovne bezbednosne mehanizme poput SELinux-a. Malver opstaje čak i nakon fabričkog resetovanja, što znači da zaraženi uređaji ostaju ranjivi.
Posebna meta napada je WhatsApp, gde se kod ubacuje u sve aktivne aplikacije kako bi se preuzeli podaci potrebni za kloniranje sesije. Napadači na taj način mogu da pristupe kompletnim porukama i podacima žrtve.
Zaštita i preporuke stručnjaka
Google je uklonio zaražene aplikacije nakon prijava, ali korisnici koji su ih ranije instalirali moraju da budu svesni da su njihovi uređaji kompromitovani. Stručnjaci naglašavaju da redovno ažuriranje uređaja značajno smanjuje rizik od sličnih napada.
Preporuka je da se aplikacije preuzimaju isključivo od proverenih izdavača, čak i kada dolaze sa Google Play prodavnice, i da se koriste podržani Android uređaji. Oprez i odgovorno korišćenje pametnih telefona ostaju najbolja zaštita od ovakvih pretnji.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO: