Odmah izbrišite ove Android aplikacije

Zlonamjerne aplikacije koje se predstavljaju kao čistači sustava, galerije slika i igre, pružaju obećanu funkcionalnost bez traženja sumnjivih dozvola.

Nakon infekcije, zlonamjerni softver pokušava dobiti root pristup iskorištavanjem starih ranjivosti Androida zakrpanih između 2016. i 2021. godine.

Istraživači McAfeeja nisu uspjeli povezati kampanju s određenim akterom, ali su uočili sličnosti s Trojancem Triad.

Zlonamjerni kod skriven je unutar paketa com.facebook.utils, gdje se prikriva petljanjem s legitimnim Facebook SDK komponentama.

Korisni teret je dodatno maskiran tehnikom steganografije – šifrirani APK (enc.apk) skriven je unutar PNG slike, zatim ekstrahiran i učitavan izravno u memoriju, brišući sve tragove.

Napad također uključuje sofisticirane mehanizme za izbjegavanje otkrivanja: zlonamjerni softver provjerava radi li na emulatoru, koristi li se VPN ili debugger te izbjegava infekciju u određenim regijama kao što su Peking i Shenzhen u Kini.

Ako su svi uvjeti ispunjeni, uređaj se spaja na C2 poslužitelj i šalje detaljne informacije o sustavu kako bi odabrao odgovarajući exploit. Istraživači su identificirali čak 22 različita podviga.

Nakon uspješnog rootanja, zlonamjerni softver mijenja ključne sistemske biblioteke i učinkovito onemogućuje osnovne sigurnosne mehanizme poput SELinuxa.

NoVoice se nastavlja čak i nakon vraćanja uređaja na tvorničke postavke.

Tijekom faze nakon eksploatacije, zlonamjerni softver ubacuje kod u sve pokrenute aplikacije, s posebnim fokusom na WhatsApp. Cilj je ukrasti podatke potrebne za kloniranje sesije, kako bi napadači dobili potpuni pristup komunikaciji žrtve.

Google je nakon prijave uklonio zaražene aplikacije, ali korisnici koji su ih prethodno instalirali trebaju biti svjesni da su njihovi uređaji i podaci ugroženi.

Budući da NoVoice cilja na starije ranjivosti, noviji uređaji koji se redovito ažuriraju nisu osjetljivi na ovaj napad. Stručnjaci preporučuju korištenje podržanih Android uređaja i instaliranje aplikacija isključivo od provjerenih izdavača, čak i kada dolaze s Google Playa.