В «Play Маркете» нашли десятки приложений с вредоносным NoVoice, которые загрузили 2,3 миллиона пользователей
Краткое резюме
В Google Play Market найдено более 50 приложений, содержащих вредоносный код *NoVoice*.
- Вирус использует известные уязвимости Android (2016‑2021) для получения root‑прав.
- Скачано более 2,3 млн раз.
- Приложения выглядят как фотогалереи, игры и «чистящие» утилиты – они не требуют подозрительных разрешений.
Эксперты McAfee подтвердили наличие угрозы, но не смогли установить конкретного злоумышленника; вирус похож на троян *Triada*.
Как работает NoVoice
| Этап | Что происходит |
|---|---|
| Инфекция | Вредоносный код помещается в пакет `com.facebook✴.utils`, маскируясь под SDK Facebook. Зашифрованная нагрузка (`enc.apk`) скрыта внутри PNG‑изображения, из которого извлекается файл `h.apk` и загружается в память. После этого все временные файлы удаляются. |
| Условие заражения | Если устройство определено как находящееся в Пекине или Шэньчжэне (Китай), а также проходит 15 проверок на эмуляторы, отладчики и VPN, процесс прекращается. Иначе продолжается. |
| Сбор информации | Вредонос связывается с удалённым сервером и отправляет: версию ядра, Android, список установленных приложений, статус root. Запросы повторяются каждые 60 секунд. |
| Эксплойты | McAfee обнаружила 22 эксплойта (ядровые ошибки, утечки памяти, уязвимости драйверов Mali). Они открывают root‑оболочку и отключают SELinux. |
| Постоянное присутствие | После получения root вредонос заменяет системные библиотеки `libandroid_runtime.so` и `libmedia_jni.so`, создаёт скрипты восстановления, подменяет обработчик сбоев и сохраняет резервную нагрузку в системном разделе (не стирается при сбросе). Каждый 60 секунд запускается демон‑сторож, который проверяет целостность руткита. |
| Функциональные модули | 1) скрытая установка/удаление приложений. 2) подключение к любому интернет‑приложению и кража данных (чаще всего из WhatsApp). При открытии мессенджера вредонос получает базы, ключи шифрования, номер телефона и резервные копии в Google Drive, отправляя их на управляющий сервер. Это позволяет злоумышленникам клонировать сессии WhatsApp. |
| Модульность | Вирус может использовать другие полезные нагрузки для любых приложений на устройстве. |
Защита
- Устройства, обновлённые после мая 2021 года, уже не уязвимы, поскольку эксплоиты закрыты.
- Google Play Protect автоматически удаляет найденные приложения и блокирует новые установки.
- Пользователям рекомендуется регулярно устанавливать все доступные обновления безопасности.
Итог: *NoVoice* – сложный руткит, использующий устаревшие уязвимости Android для получения root‑прав, скрытого заражения и кражи данных из популярных приложений. Защита возможна только через своевременные патчи и использование Play Protect.
Asted Cloud
Комментарии (0)
Оставьте отзыв — пожалуйста, будьте вежливы и по теме.
Войти, чтобы комментировать