Το κακόβουλο λογισμικό NoVoice που μόλυνε 2,3 εκατομμύρια Android συσκευές
Μια νέα απειλή έχει επιβεβαιωθεί στον κόσμο των Android, με την εμφάνιση του κακόβουλου λογισμικού με την ονομασία NoVoice. Το NoVoice έχει εντοπιστεί στο Google Play κατά τη διάρκεια της ανάλυσης από ερευνητές της εταιρείας κυβερνοασφάλειας McAfee, και έχει μόλυνε περισσότερες από 50 εφαρμογές, οι οποίες έχουν κατέβει τουλάχιστον 2,3 εκατομμύρια φορές.
Πώς λειτουργεί το NoVoice;
Ο τρόπος που λειτουργεί το NoVoice είναι ιδιαίτερα ανησυχητικός. Οι εφαρμογές που περιέχουν αυτό το κακόβουλο λογισμικό κυμαίνονταν από καθαριστικά και γκαλερί εικόνας μέχρι παιχνίδια. Το κοινό τους χαρακτηριστικό είναι ότι δεν απαιτούσαν ύποπτες άδειες και παρείχαν τις απαιτούμενες λειτουργίες για να διατηρήσουν την παραπλανητική τους εικόνα.
Αφού μια από αυτές τις μολυσμένες εφαρμογές ήταν εγκατεστημένη, το NoVoice προσπαθούσε να αποκτήσει πρόσβαση root στη συσκευή εκμεταλλευόμενο παλιές ευπάθειες Android που είναι γνωστές και έχουν λυθεί με ενημερώσεις λογισμικού από το 2016 έως το 2021.
Πηγή: McAfee
Ο μηχανισμός μόλυνσης του NoVoice
Κατά την ανάλυση, οι ερευνητές της McAfee αποκάλυψαν ότι ο παράγοντας απειλής είχε κρύψει τον κακόβουλο κώδικα στο πακέτο com.facebook.utils, συνδυάζοντάς τον με νόμιμες κλάσεις SDK του Facebook. Αυτή η στρατηγική καθιστούσε την ανίχνευση του κακόβουλου λογισμικού σχεδόν αδύνατη για τους χρήστες.
Η διαδικασία ενσωμάτωνε ένα κρυπτογραφημένο ωφέλιμο φορτίο, γνωστό ως enc.apk, το οποίο ήταν κρυμμένο σε αρχείο εικόνας PNG μέσω της τεχνικής στεγανογραφίας (h.apk). Μόλις εγκατασταθεί το κακόβουλο λογισμικό, ανέπτυσσε δύο κύρια στοιχεία: το ένα επέτρεπε την αθόρυβη εγκατάσταση ή αφαίρεση εφαρμογών και το άλλο ήταν σχεδιασμένο να λειτουργεί σε οποιαδήποτε εφαρμογή με πρόσβαση στο διαδίκτυο.
Επικοινωνία με τον Διακομιστή Εντολών και Ελέγχου (C2)
Ένα από τα ανησυχητικά χαρακτηριστικά του NoVoice είναι ότι επικοινωνεί με έναν διακομιστή C2 κάθε 60 δευτερόλεπτα, συλλέγοντας πληροφορίες σχετικά με τις συσκευές που έχει μολύνει. Αυτές οι πληροφορίες περιλαμβάνουν λεπτομέρειες όπως:
- Πληροφορίες υλικού
- Έκδοση του πυρήνα
- Έκδοση του Android και επίπεδο ενημέρωσης κώδικα
- Εγκατεστημένες εφαρμογές
- Κατάσταση root
Μέσω αυτών των δεδομένων, οι εισβολείς μπορούν να καθορίσουν πότε και πώς θα εκτελέσουν επιθέσεις, δηλαδή να καθορίσουν τους στόχους τους.
Πηγή: McAfee
Πρόσβαση στο WhatsApp και κλοπή δεδομένων
Το NoVoice έχει εκκαθαρίσει ευαίσθητα δεδομένα από δημοφιλείς εφαρμογές, κυρίως από το WhatsApp. Όταν η εφαρμογή εκκινείται σε μια μολυσμένη συσκευή, το κακόβουλο λογισμικό εξάγει απαραίτητα δεδομένα που βοηθούν στην κλωνοποίηση της συνεδρίας του θύματος. Αυτά τα δεδομένα περιλαμβάνουν:
- Βάσεις δεδομένων κρυπτογράφησης
- Κλειδιά πρωτοκόλλου sοignal
- Αναγνωριστικά λογαριασμού, όπως ο αριθμός τηλεφώνου
Επιπλέον, οι πληροφορίες αυτές διοχετεύονται στον διακομιστή C2, επιτρέποντας στους εισβολείς να αποκτήσουν πλήρη πρόσβαση στο λογαριασμό του θύματος.
Πηγή: McAfee
Πώς να προστατευτείτε από το NoVoice
Αν και οι κακόβουλες εφαρμογές έχουν αφαιρεθεί από το Google Play, οι χρήστες που τις έχουν εγκαταστήσει προηγουμένως θα πρέπει να θεωρούν τις συσκευές τους μολυσμένες. Συνιστάται στους χρήστες Android να:
- Ενημερώνονται τακτικά με τις τελευταίες ενημερώσεις ασφαλείας.
- Εγκαθιστούν μόνο εφαρμογές από γνωστούς και αξιόπιστους εκδότες.
- Ακολουθούν καλές συνήθειες ψηφιακής ασφάλειας, όπως η χρήση ισχυρών κωδικών πρόσβασης και ενεργοποίηση της αυθεντικοποίησης δύο παραγόντων.
Η αναβάθμιση σε συσκευές που εκτελούν τις τελευταίες ενημερώσεις ασφαλείας είναι κρίσιμη για την πρόληψη από επιθέσεις που στοχεύουν γνωστές ευπάθειες.
Για περισσότερες λεπτομέρειες σχετικά με την έρευνα της McAfee για το NoVoice, μπορείτε να επισκεφθείτε αυτό το άρθρο.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.