Peste 2,3 milioane de dispozitive Android au fost infectate prin aplicațiile descărcate chiar de pe Google Play

Peste 2,3 milioane de descărcări au fost înregistrate pentru aplicații infectate cu malware-ul „NoVoice”, instalate chiar din magazinul oficial Google Play. Acest tip de atac este neobișnuit, deoarece a permis extragerea de date sensibile direct de pe dispozitivele infectate, potrivit TechRepublic.

Malware-ul a fost identificat de cercetătorii de la McAfee. Ulterior, aplicațiile afectate au fost raportate și eliminate de Google. Nu au fost identificați oficial autorii atacului, însă comportamentul malware-ului seamănă cu cel al unor grupuri cunoscute, ceea ce a dus la noi avertismente pentru utilizatorii Android.

Un malware discret și greu de detectat

De obicei, astfel de programe malițioase ajung pe telefoane prin aplicații instalate din surse externe. În acest caz, însă, atacul a avut loc chiar în interiorul Google Play.

Atacatorii au publicat aplicații aparent normale, jocuri, aplicații de curățare sau galerii foto, care funcționau corect și nu ridicau suspiciuni. Codul periculos era ascuns și activat abia după instalare, ceea ce le-a permis să treacă de verificările inițiale.

După deschiderea aplicației, malware-ul începea să ruleze în fundal și încerca să exploateze vulnerabilități mai vechi ale sistemului Android, corectate între 2016 și 2021.

Dacă reușea să obțină acces complet la sistem, își ascundea componentele în pachete care păreau legitime și încărca în memorie cod malițios ascuns în fișiere aparent inofensive.

Ce face malware-ul

Odată activ, malware-ul colectează informații despre dispozitiv, precum detalii hardware, versiunea Android, aplicațiile instalate dar și statutul de securitate al sistemului.

Apoi trimite aceste date către un server de comandă și control și repetă procesul la fiecare 60 de secunde, primind instrucțiuni noi.

Scopul final este obținerea controlului total asupra telefonului. Cercetătorii au identificat 22 de metode diferite folosite pentru a sparge sistemul, inclusiv vulnerabilități la nivel de nucleu (kernel) și drivere grafice.

După ce compromite dispozitivul, malware-ul poate modifica majoritatea componentelor esențiale ale sistemului pentru a-și menține accesul.

Acces permanent

Pentru a rămâne pe dispozitiv, malware-ul instalează scripturi speciale în zone greu accesibile ale sistemului. Acest lucru face ca, în unele cazuri, nici resetarea telefonului la setările din fabrică să nu îl elimine complet.

După infectare completă, malware-ul poate instala și șterge aplicații fără știrea utilizatorului, reporni telefonul pentru a-și reactiva componentele, fura date din aplicații precum WhatsApp dar și accesa informații sensibile, inclusiv din aplicații bancare.

În cazul WhatsApp, poate extrage date suficiente pentru a clona contul pe alt dispozitiv.

Cine este în pericol

Potrivit Google, dispozitivele actualizate după mai 2021 sunt protejate, deoarece vulnerabilitățile exploatate au fost deja corectate.

Cele mai expuse sunt telefoanele mai vechi, care nu mai primesc actualizări de securitate.

Semne că telefonul ar putea fi infectat

Utilizatorii pot observa:

• consum neobișnuit de baterie
• reporniri neașteptate
• aplicații care dispar și reapar singure

În astfel de cazuri, dispozitivul ar trebui deconectat de la internet și verificat de un specialist.