Android pod ostrzałem: NoVoice przejął kontrolę nad milionami smartfonów!

W sieci zawrzało po odkryciu kampanii NoVoice, która w podstępny sposób zainfekowała ponad 2,3 miliona urządzeń z systemem Android. Wykorzystując mechanizmy ukryte w pozornie bezpiecznych aplikacjach, cyberprzestępcy zyskali zdolność do przejmowania kont WhatsApp i całkowitej kontroli nad prywatnością użytkowników.

Cicha inwazja w Google Play: Jak działają zainfekowane aplikacje?

Eksperci z zespołu ds. bezpieczeństwa firmy McAfee ujawnili, że złośliwe oprogramowanie NoVoice trafiło do oficjalnego sklepu Google Play, ukrywając się w ponad 50 popularnych narzędziach. Użytkownicy, szukając prostych gier, galerii zdjęć czy programów do czyszczenia systemu, nieświadomie pobierali cyfrowego konia trojańskiego.

To, co czyni NoVoice wyjątkowo niebezpiecznym, to zastosowanie steganografii. Część złośliwego kodu została zaszyta bezpośrednio w plikach graficznych. Dla automatycznych systemów skanujących Google dane te wyglądały jak zwykłe obrazki, co pozwoliło malware’owi ominąć zapory bezpieczeństwa i dotrzeć do milionów odbiorców.

Rootkit NoVoice: Gdy „powrót do ustawień fabrycznych” to za mało

NoVoice nie jest zwykłym wirusem – to zaawansowany rootkit. Po instalacji oprogramowanie celuje w starsze luki w zabezpieczeniach Androida, aby uzyskać najwyższe uprawnienia systemowe (root). Dzięki temu malware może nadpisywać kluczowe biblioteki systemowe, osadzając się w najgłębszych strukturach oprogramowania.

W przypadku starszych smartfonów, które nie otrzymują już wsparcia producenta, sytuacja jest dramatyczna. Rootkit potrafi zakotwiczyć się tak mocno, że standardowy reset do ustawień fabrycznych nie usuwa zagrożenia. Jedynym skutecznym ratunkiem w takiej sytuacji pozostaje całkowite nadpisanie oprogramowania układowego, co dla przeciętnego użytkownika jest procesem skomplikowanym i ryzykownym.

Kradzież tożsamości na WhatsApp: Cel numer jeden

Głównym zadaniem NoVoice jest infiltracja komunikatora WhatsApp. McAfee donosi o specjalnych modułach, które aktywują się w momencie uruchomienia aplikacji przez użytkownika. Malware kopiuje klucze sesji oraz metadane, co pozwala napastnikom na sklonowanie konta WhatsApp na innym urządzeniu.

Przestępcy mogą czytać prywatne wiadomości, przeglądać listę kontaktów, a nawet wysyłać wiadomości w imieniu ofiary, np. prosząc bliskich o szybki przelew pieniężny (oszustwo „na BLIK-a” lub podobne). Wszystko to odbywa się w tle, bez żadnych widocznych oznak infekcji na ekranie telefonu.

Nazwa malware’u nawiązuje do sprytnej sztuczki technicznej. Aby proces złośliwego oprogramowania nie został zamknięty przez system oszczędzania energii Androida, NoVoice w pętli odtwarza całkowicie wyciszony plik audio. Dzięki temu system operacyjny uznaje proces za aktywną aplikację multimedialną i pozwala jej działać w tle bez żadnych przerw, co daje hakerom stały dostęp do danych.

Jak sprawdzić, czy Twój telefon jest bezpieczny?

Dobra wiadomość jest taka, że Google usunęło już szkodliwe aplikacje ze swojego sklepu, a urządzenia posiadające poprawki bezpieczeństwa z 1 maja 2021 roku lub nowsze są odporne na znane dotychczas exploity tej kampanii. Problem dotyczy jednak milionów osób korzystających ze starszych modeli smartfonów. Jeśli Twój telefon działa wolniej lub zauważasz podejrzaną aktywność na WhatsApp, sprawdź listę zainstalowanych narzędzi systemowych. Upewnij się też, że masz zainstalowane wszystkie dostępne aktualizacje systemu. Pamiętaj: w świecie Androida brak wsparcia producenta to otwarta brama dla intruzów.