В магазине Google Play было выявлено свыше 50 приложений, заражённых вирусом NoVoice. Этот вирус использует известные уязвимости для получения root-доступа. Суммарное количество загрузок этих программ превышает 2,3 миллиона.
Источник изображения: Tom Sodoge / unsplash.com
Среди заражённых приложений встречаются фотогалереи, игры и утилиты для очистки — все они выполняют заявленные функции и не запрашивают подозрительных разрешений. После запуска инфицированной программы вредоносный элемент пытается использовать старые уязвимости Android, которые были исправлены в период с 2016 по 2021 годы, и стремится получить root-доступ к устройству. Угрозу обнаружили специалисты компании McAfee, которые не смогли связать её с каким-либо конкретным злоумышленником, но отметили, что вредонос напоминает троян Triada.
Вредоносные компоненты встраиваются в пакет «com.facebook✴.utils», смешиваясь с легитимными классами SDK Facebook✴. Зашифрованная полезная нагрузка, представленная файлом «enc.apk», размещается внутри PNG-изображения. Оттуда она извлекается и, уже в виде «h.apk», загружается в системную память, а все промежуточные файлы удаляются для сокрытия следов. Процесс заражения останавливается, если обнаруживается, что устройство находится в Пекине или Шэньчжэне (Китай); также проводятся 15 проверок на наличие эмуляторов, отладчиков и VPN. Если определить местоположение не удаётся, заражение продолжается.
Вредоносный компонент связывается с сервером и передаёт ему информацию об устройстве: версию ядра, версию Android и уровень исправлений безопасности, список установленных приложений и статус root — эти данные помогают выбрать дальнейшую тактику. После этого обращение к серверу происходит каждые 60 секунд, загружаются различные компоненты эксплойтов, адаптированных под конкретное устройство, предназначенных для получения root-прав на системе жертвы. Специалисты McAfee обнаружили 22 эксплойта, в том числе те, что используют ошибки ядра, связанные с освобождением памяти после её использования, и уязвимости драйверов графики Mali. Эти эксплойты предоставляют операторам root-оболочку, позволяя отключить систему защиты SELinux.
Источник изображения: Soheb Zaidi / unsplash.com
Когда злоумышленник получает права root, вредоносная программа заменяет системные библиотеки «libandroid_runtime.so» и «libmedia_jni.so» на их изменённые версии, перехватывающие системные запросы. Руткит внедряет несколько механизмов для закрепления в системе: он формирует скрипты для восстановления, замещает системный обработчик сбоев и хранит запасные вредоносные модули в системном разделе — эта область памяти устройства не очищается при сбросе до заводских настроек, поэтому даже после полной очистки угроза продолжает функционировать. Каждые 60 секунд активируется сторожевой процесс, проверяющий сохранность руткита и автоматически восстанавливающий утерянные компоненты.
После установки всех вредоносных элементов развёртываются два рабочих модуля: первый обеспечивает незаметную установку и удаление приложений, второй подключается к любому приложению с выходом в интернет и занимается кражей данных. Чаще всего данные похищаются из мессенджера WhatsApp. При запуске этого приложения на заражённом устройстве вредонос извлекает конфиденциальную информацию: базы данных и ключи шифрования, а также идентификаторы аккаунтов, такие как номер телефона и данные резервного копирования на «Google Диск». Эта информация отправляется на сервер управления, что позволяет злоумышленникам клонировать сессии WhatsApp на своих устройствах. Модульная структура вируса технически даёт возможность использовать другие нагрузки для любого иного приложения на устройстве.
Устройства, получившие обновления после мая 2021 года, защищены от NoVoice, поскольку уязвимости, используемые вирусом, были устранены несколько лет назад, сообщили ресурсы BleepingComputer в Google и добавили: «В качестве дополнительной меры защиты Google Play Protect автоматически удаляет эти приложения и блокирует новые установки. Пользователям всегда следует устанавливать обновления безопасности, доступные для их устройств». Однако владельцам уже заражённых устройств следует считать их и все хранящиеся на них данные скомпрометированными.
