В магазине Google «Play Маркет» обнаружены более 50 приложений, содержащих вирус NoVoice. Он эксплуатирует известные уязвимости в попытке получить доступ root. Эти приложения были скачаны в общей сложности не менее 2,3 млн раз.
Содержание статьи
- 1 Компьютер месяца, спецвыпуск: эпоха отката, или Как дефицит чипов памяти влияет на выбор железа для игрового ПК
- 2 Обзор Ryzen 7 9850X3D: три процента за двадцать баксов
- 3 Гид по выбору OLED-монитора в 2026 году: эволюция в деталях
- 4 Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone
- 5 Ryzen и 16 Гбайт DDR5: как сэкономить на памяти так, чтобы не лишиться 15 % производительности
- 6 От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте
- 7 Обзор Samsung Galaxy Z TriFold: тройной складной смартфон по цене квартиры в Воркуте
- 8 Обзор ноутбука HONOR MagicBook X16 2026: как раньше, только лучше
- 9 Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой
Компьютер месяца, спецвыпуск: эпоха отката, или Как дефицит чипов памяти влияет на выбор железа для игрового ПК
Обзор Ryzen 7 9850X3D: три процента за двадцать баксов
Гид по выбору OLED-монитора в 2026 году: эволюция в деталях
Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone
Ryzen и 16 Гбайт DDR5: как сэкономить на памяти так, чтобы не лишиться 15 % производительности
От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте
Обзор Samsung Galaxy Z TriFold: тройной складной смартфон по цене квартиры в Воркуте
Обзор ноутбука HONOR MagicBook X16 2026: как раньше, только лучше
Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой
Источник изображения: Tom Sodoge / unsplash.com
Среди содержащих вредоносную нагрузку приложений значатся фотогалереи, игры и программы для очистки — они обеспечивают обещанную функциональность и не требуют подозрительных разрешений. После запуска заражённого приложения вредоносный компонент пытается эксплуатировать старые уязвимости Android, исправленные в период с 2016 по 2021 годы, и пытается получить доступ root на устройстве. Угрозу обнаружили эксперты компании McAfee и не смогли связать её с конкретным злоумышленником, но отметили сходство вредоноса с трояном Triada.
Вредоносные компоненты помещаются в пакет «com.facebook✴.utils», смешиваясь с легитимными классами SDK Facebook✴. Зашифрованная полезная нагрузка в виде файла «enc.apk» размещается внутри файла изображения формата PNG, из которого извлекается и уже в виде «h.apk» загружается в системную память, а все промежуточные файлы для устранения следов удаляются. Заражение прекращается, если обнаруживается, что устройство находится в Пекине или Шэньчжэне (Китай); проводятся 15 проверок на наличие эмуляторов, отладчиков и VPN. Если обнаружить местоположение не удаётся, процесс заражения продолжается.
Вредоносный компонент связывается с сервером и передаёт ему информацию об устройстве: версию ядра, версию Android и исправлений безопасности, список установленных приложений и статус root — всё это помогает определить дальнейшую стратегию. Далее обращение к серверу производится каждые 60 секунд, загружаются различные компоненты специфичных для конкретного устройства эксплойтов, предназначенных для получения прав root на системе жертвы. Эксперты McAfee обнаружили 22 эксплойта, в том числе обращающиеся к ошибкам ядра, связанные с освобождением памяти после её использования и уязвимостью драйверов графики Mali. Эти эксплойты открывают операторам root-оболочку, позволяя отключить систему защиты SELinux.
Источник изображения: Soheb Zaidi / unsplash.com
Когда доступ root уже получен, вредонос подменяет системные библиотеки «libandroid_runtime.so» и «libmedia_jni.so» на модифицированные версии, которые перехватывают системные вызовы. Руткит устанавливает несколько уровней постоянного присутствия, в том числе создаёт скрипты восстановления, подменяет обработчик сбоев системы и сохраняет резервные полезные нагрузки в системном разделе — эта часть памяти устройства при сбросе к заводским настройкам не очищается, так что и после тщательной очистки вредонос продолжает действовать на устройстве. Каждый 60 секунд запускается сторожевой демон, который проверяет целостность руткита и автоматически переустанавливает отсутствующие компоненты.
Когда все вредоносные компоненты установлены, развёртываются два функциональных: один обеспечивает скрытую установку и удаление приложений, второй подключается к любому приложению с доступом в интернет и производит кражу данных. Чаще всего данные крадутся из мессенджера WhatsApp. При запуске мессенджера на заражённом устройстве вредонос извлекает конфиденциальные данные: базы и ключи шифрования, а также идентификаторы учётных записей, такие как номер телефона и данные резервного копирования на «Google Диск». Информация передаётся на управляющий сервер, в результате чего злоумышленники могут клонировать сессии WhatsApp на своих устройствах. Модульная архитектура вируса технически позволяет использовать другие полезные нагрузки для любого другого приложения на устройстве.
Устройства с обновлениями после мая 2021 года защищены от NoVoice, потому что эксплуатируемые вирусом уязвимости были закрыты несколько лет назад, сообщили ресурсы BleepingComputer в Google и добавили: «В качестве дополнительной меры защиты Google Play Protect автоматически удаляет эти приложения и блокирует новые установки. Пользователям всегда следует устанавливать обновления безопасности, доступные для их устройств». Владельцам уже подвергшихся заражению устройств, однако, следует считать их и содержащиеся на них данные скомпрометированными.
