Zeci de aplicații din Google Play au fost infectate cu un soft periculos. Milioane de utilizatori Android, afectați

Zeci de aplicații din Google Play au fost infectate cu un soft periculos. Milioane de utilizatori Android, afectați

Malware-ul NoVoice a fost identificat în 50 de aplicații Android disponibile în Google Play, care au cumulat 2,3 milioane de descărcări, reușind să evite detectarea și să vizeze dispozitivele neactualizate.

Descărcat de peste 2,3 milioane de ori, expunând potențial milioane de dispozitive, malware-ul NoVoice se regăsește în aplicații instalate direct din Google Play Store, un scenariu neobișnuit în care acesta a extras date sensibile de pe dispozitivele infectate, scrie TechRepublic.

Identificat pentru prima dată de cercetătorii de la McAfee, aplicațiile afectate au fost ulterior raportate și eliminate de Google. Deși nu au fost numiți oficial autori ai atacului, comportamentul malware-ului sugerează un tipar familiar unor grupuri cunoscute, ceea ce a determinat noi avertismente pentru utilizatorii Android să rămână vigilenți.

În timp ce multe programe malware care vizează utilizatorii Android provin din aplicații instalate din surse externe sau sunt introduse după descărcarea aplicației, acest malware a compromis direct Google Play Store.

Prin dezvoltarea și publicarea unor jocuri, aplicații de curățare și galerii foto aparent inofensive în Google Play Store, atacatorii au reușit să ascundă comportamentul malițios în timpul verificării codului de către Google, până după instalarea aplicației de către utilizator. Prin faptul că aplicațiile chiar ofereau funcționalitățile promise, malware-ul a evitat detectarea timpurie.

Odată ce aplicația infectată este lansată, malware-ul „adormit” se activează și încearcă mai întâi să exploateze vulnerabilități vechi din Android, remediate între 2016 și 2021, potrivit BleepingComputer.

Dacă reușește să obțină acces root prin aceste vulnerabilități, malware-ul evită sistemele de apărare ascunzând componentele malițioase în pachete care par legitime. Ulterior, extrage un cod criptat ascuns în fișiere aparent inofensive și îl încarcă în memorie pentru execuție.

Potrivit cercetătorilor, imediat ce este încărcat în memorie, colectează identificatori specifici dispozitivului, precum detalii hardware, versiunea kernelului și a Androidului, aplicațiile instalate și statusul root. Cu aceste date, contactează un server de comandă și control (C2) și repetă procesul la fiecare 60 de secunde, primind instrucțiuni suplimentare adaptate dispozitivului.

În această etapă, malware-ul urmărește să obțină control complet asupra sistemului prin rootarea dispozitivului. Cercetătorii McAfee au identificat 22 de exploit-uri diferite, inclusiv vulnerabilități ale kernelului și ale driverelor GPU.

După compromiterea dispozitivului, malware-ul înlocuiește pachete Android esențiale cu versiuni modificate, pentru a controla execuția sistemului.

Secțiune Știri sub articolul principal

Urmăriți Ziarul Unirea și pe  GOOGLE ȘTIRI