ב־"Play Market" מצאו עשרות אפליקציות עם NoVoice מזיק, שהורידו 2,3 מיליון משתמשים

ב־"Play Market" מצאו עשרות אפליקציות עם NoVoice מזיק, שהורידו 2,3 מיליון משתמשים

4 hardware

סיכום קצר

ב־Google Play Market נמצאו יותר מ‑50 אפליקציות המכילות קוד זדוני *NoVoice*.

- המגפה משתמשת באיומי אבטחה ידועים ב־Android (2016‑2021) כדי לקבל הרשאות root.
- הורדה מעל 2,3 מיליון פעמים.
- האפליקציות נראות כגלריות תמונות, משחקים ויישומים “ניקוי” – הן לא דורשות הרשאות חשודות.

מומחי McAfee אישרו את קיומה של האיום אך לא הצליחו לזהות את המתקפה; הקוד דומה ל‑Trojan *Triada*.

איך פועל NoVoice
שלב מה קורה זיהום קוד הזדוני מונח בחבילת `com.facebook✴.utils`, מסתיר עצמו כ־SDK של Facebook. העומס המקודד (`enc.apk`) מוסתר בתוך תמונת PNG, ממנה נבדק הקובץ `h.apk` ומטוען לזיכרון. לאחר מכן כל קבצים זמניים נמחקים.
תנאי זיהום אם המכשיר מאופיין כ־Beijing או Shenzhen (סין), וכן עובר 15 בדיקות למנועי אמולציה, דיבוג ו‑VPN, התהליך נעצר. אחרת ממשיך.
איסוף מידע הוירוס מתקשר לשרת מרוחק ושולח: גרסת הליבה, Android, רשימת אפליקציות מותקנות, מצב root. הבקשות חוזרות כל 60 שניות.
הצצות McAfee גילתה 22 הצצות (שגיאות בליבת מערכת, דליפות זיכרון, פגיעויות דרייברים Mali). הן פותחות מעטפת root ומכבות SELinux.
נוכחות מתמשכת לאחר קבלת root הוירוס מחליף ספריות מערכת `libandroid_runtime.so` ו־`libmedia_jni.so`, יוצר סקריפטים לשחזור, מחליף את מטפל התקלות ושומר עומס גיבוי בחלק המערכת (לא נמחק בעת איפוס). כל 60 שניות מופעל דמון-שומר שמוודא את שלמות הרוטקיט.
מודולים פונקציונליים
1) התקנה/הסרה מוסתרת של אפליקציות.
2) חיבור לכל יישום אינטרנט וגניבת נתונים (בדרך כלל מ־WhatsApp). בעת פתיחת הממסד, הוירוס מקבל בסיסי נתונים, מפתחות הצפנה, מספר טלפון וגיבויים ב‑Google Drive, שולח אותם לשרת הבקרה. זה מאפשר למתקפה לשכפל סשנים של WhatsApp.
מודולריות הוירוס יכול להשתמש בעומסים אחרים לכל אפליקציה במכשיר.

הגנה
- מכשירים מעודכנים מאז מאי 2021 כבר אינם פגיעים, שכן הצצות נסגרות.
- Google Play Protect מסירה אוטומטית את האפליקציות שנמצאו ומחסמת התקנות חדשות.
- מומלץ למשתמשים להתקין באופן קבוע את כל עדכוני האבטחה הזמינים.

החלטה: *NoVoice* הוא רוטקיט מורכב המשתמש באיומי Android ישנים לקבלת root, זיהום מוסתר וגניבת נתונים מיישומים פופולריים. ההגנה אפשרית רק דרך תיקונים בזמן ושימוש ב‑Play Protect.

Related news

תגובות (0)

שתפו את דעתכם — אנא היו מנומסים והישארו בנושא.

אין תגובות עדיין. השאירו תגובה ושתפו את דעתכם!

כדי להשאיר תגובה, אנא התחברו.

התחברו כדי להגיב

שכחת את הסיסמה? צור חשבון