Содержание
McAfee обнаружила в Google Play 50 приложений, которые суммарно набрали 2,3 млн загрузок и распространяли Android-малварь NoVoice. Кампания опасна тем, что вредонос умеет закрепляться в системе так глубоко, что обычный сброс до заводских настроек может не помочь.
О находке также рассказало издание BleepingComputer. По данным McAfee, все выявленные приложения уже удалили из магазина, но это не лечит устройства тех, кто успел их установить.
NoVoice маскировался под чистильщики и игры, но работал «тихо»
Злоумышленники прятали NoVoice в приложениях, которые выглядели безобидно: «системные чистильщики», простые утилиты и мобильные игры. Важная деталь: эти программы выполняли заявленные функции и не просили «лишних» разрешений. Это снижало шанс, что пользователь заподозрит подвох и удалит их сразу.
Дальше включалась более взрослая часть схемы. После запуска приложение связывалось с сервером управления и начинало профилировать устройство: собирало сведения о железе, версии Android, уровне патчей безопасности, списке установленных приложений и наличии root-прав.
Если устройство оказывалось уязвимым, NoVoice скачивал под него эксплойт и переходил к захвату контроля.
Почему этот вредонос переживает factory reset
Ключевой трюк NoVoice — получение root-доступа через старые уязвимости, которые уже закрыли патчами. Проблема в том, что патчи стоят не у всех: кто-то редко обновляет смартфон, а у кого-то бюджетная модель, которая давно не получает обновления безопасности.
McAfee пишет, что NoVoice обращается к C2-серверу каждые 60 секунд. С той же частотой работает «сторожевой» механизм, который проверяет целостность руткита и при попытке удаления восстанавливает компоненты.
Исследователи McAfee зафиксировали 22 разных эксплойта в этой кампании. После успешной атаки NoVoice переписывает системные библиотеки, чтобы закрепиться на уровне, который может пережить даже полный wipe. Если вредонос не может восстановиться, он принудительно перезагружает устройство и запускает заражение заново.
Кто в зоне риска и что атакуют в первую очередь
По наблюдениям McAfee, кампания сильнее всего била по пользователям в Африке. Также заражения фиксировали в Индии, США и Европе. Логика простая: в регионах, где чаще покупают недорогие смартфоны со старыми версиями Android, выше доля устройств без свежих патчей.
Отдельно McAfee отмечает фокус на WhatsApp. Когда мессенджер запускали на заражённом устройстве, NoVoice вытягивал чувствительные данные, чтобы клонировать сессию и перехватить аккаунт. Дальше атакующий мог писать контактам жертвы в реальном времени, фактически используя её цифровую личность.
При этом NoVoice сделали модульным. По оценке исследователей, его можно перенастроить под банковские приложения или любой другой софт на заражённом смартфоне.
Какие устройства уязвимы по версии McAfee
McAfee привязала риск к уровню патчей безопасности Android. Если у смартфона security patch level раньше 1 мая 2021 года, он уязвим к тем эксплойтам, через которые NoVoice получает root-доступ.
Отдельный неприятный момент: раз обычный factory reset может не помочь, «техническим» вариантом очистки исследователи называют перепрошивку устройства официальной заводской прошивкой. Это полностью заменяет системные файлы, но стирает данные и требует опыта.
McAfee также указывает на Google Play Protect: Google обновила сигнатуры, и встроенная проверка теперь может распознавать NoVoice и блокировать его компоненты, даже если они спрятаны глубоко в системе.
Полный список 50 приложений McAfee пока не опубликовала. Подробности исследования компания описала в своём блоге.
