Σύνοψη
- Περισσότερες από 50 εφαρμογές στο Google Play Store έχουν μολυνθεί από το Operation NoVoice, ξεπερνώντας τα 2.3 εκατομμύρια downloads.
- Το malware λειτουργεί ως rootkit, αποκτώντας βαθιά πρόσβαση στο Android, τροποποιώντας τις βασικές βιβλιοθήκες του συστήματος.
- Η μόλυνση παραμένει ακόμη και μετά από factory reset, απαιτώντας επανεγκατάσταση του λειτουργικού.
Σύμφωνα με την McAfee, πάνω από 50 εφαρμογές στο Google Play Store έχουν μολυνθεί από ένα ιδιαίτερα επικίνδυνο rootkit, που αποκτά βαθιά πρόσβαση στο λειτουργικό σύστημα των συσκευών.
Η εκστρατεία κακόβουλου λογισμικού με την ονομασία Operation NoVoice έχει καταφέρει να εισέλθει στο Play Store μέσω 50 φαινομενικά αθώων εφαρμογών, οι οποίες έχουν καταγραφεί με περισσότερα από 2.3 εκατομμύρια downloads προτού αφαιρεθούν από την Google.
Εντυπωσιακά και ταυτόχρονα ανησυχητικά είναι τα στοιχεία ότι μπορεί να αποκτήσει πρόσβαση σε βάθος στο σύστημα, ενεργώντας ως rootkit που επιβιώνει ακόμα και μετά από factory reset.
Πώς λειτουργεί το Operation NoVoice και το Root Exploit
Το Operation NoVoice εντάσσεται στην κατηγορία του rootkit malware. Αυτό σημαίνει ότι έχει σχεδιαστεί για να αποκτήσει το υψηλότερο επίπεδο πρόσβασης σε μια συσκευή Android, παραμένοντας αόρατο από ισχυρά εργαλεία ασφαλείας, όπως το Google Play Protect, το οποίο είναι προεπιλεγμένα ενεργό σε όλες τις συσκευές Android.
- Ο όρος “root” αναφέρεται στο υψηλότερο επίπεδο πρόσβασης σε ένα σύστημα.
- Ο όρος “kit” αναφέρεται σε μια συλλογή εργαλείων που χρησιμοποιούνται από επιτιθέμενους.
Η διαδικασία μόλυνσης είναι σχετικά απλή και αρχίζει όταν ο χρήστης κατεβάσει μία από τις μολυσμένες εφαρμογές, οι οποίες συνήθως προσφέρονται ως εργαλεία καθαρισμού (cleaners) ή φωτογραφικής επεξεργασίας. Ωστόσο, οι χρήστες θα πρέπει να είναι προσεκτικοί με τέτοιες εφαρμογές, καθώς το Android διαθέτει συνήθως τα κατάλληλα εργαλεία για να διατηρεί τη συσκευή καθαρή.
Αφού εγκατασταθεί, η εφαρμογή επικοινωνεί με απομακρυσμένο server, συλλέγοντας δεδομένα για το υλικό της συσκευής, την έκδοση του λειτουργικού και τις ενημερώσεις ασφαλείας που είναι εγκατεστημένες.
Εφόσον η εφαρμογή κρίνει ότι η συσκευή είναι ευάλωτη, στέλνει τον κατάλληλο κώδικα για να εκτελέσει το root exploit. Με την επιτυχία της διαδικασίας, το malware αποκτά πρόσβαση σε επίπεδο root, επιτρέποντας στους επιτιθέμενους να εγκαταστήσουν πρόσθετα κακόβουλα στοιχεία ή να τροποποιήσουν βασικές ρυθμίσεις του λειτουργικού συστήματος Android.
Ο Κίνδυνος και η Προέλευση του Ονόματος
Είναι σημαντικό να σημειωθεί ότι ο μεγαλύτερος κίνδυνος που σχετίζεται με το Operation NoVoice είναι η ικανότητά του να επιβιώνει μετά από factory reset. Σε ορισμένες περιπτώσεις, τα επιβλαβή στοιχεία τροποποιούν τμήματα του λειτουργικού συστήματος που δεν διαγράφονται κατά την επαναφορά των εργοστασιακών ρυθμίσεων. Για την πλήρη αφαίρεση της μόλυνσης, μπορεί να απαιτείται επανεγκατάσταση του firmware της συσκευής, μια διαδικασία που δεν είναι προσιτή σε απλούς χρήστες.
Η ονομασία Operation NoVoice προέρχεται από ένα στοιχείο εντός του malware. Οι ερευνητές ανακάλυψαν ένα resource που αποκαλείται “novOICE”, το οποίο αναπαράγει ένα ήχο σε μηδενικά επίπεδα έντασης. Σκοπός αυτού του ήχου είναι να διατηρεί ενεργό το service χωρίς να προσελκύει την προσοχή, επιτρέποντας έτσι την επιβίωση του κώδικα.
Η περίπτωση του Operation NoVoice αναδεικνύει ότι το οικοσύστημα του Android, παρά τις πολλές βελτιώσεις, παραμένει ευάλωτο σε επιθέσεις, ιδιαίτερα όταν οι χρήστες υπολογίζουν ότι μια απλή επαναφορά εργοστασιακών ρυθμίσεων μπορεί να λύσει τα προβλήματα ασφαλείας.
Αυτός ο κίνδυνος υπενθυμίζει τη σημασία των τακτικών ενημερώσεων του λειτουργικού και της υποστήριξης από τους κατασκευαστές. Αξιολογώντας όλες τις διαδικασίες που αφορούν την εγκατάσταση εφαρμογών, η Google προσπαθεί να αλλάξει τη διαδικασία εγκατάστασης από το Play Store, με χρονικό περιθώριο 24 ωρών, όπως έχουμε αναφέρει σε προηγούμενο άρθρο μας, εξηγώντας έτσι στους χρήστες τους κινδύνους από την ανεξέλεγκτη εγκατάσταση εφαρμογών εκτός Play Store.