- Автор темы
- #1
В Google Play обнаружили масштабную вредоносную кампанию: малварь NoVoice скрывалась более чем в 50 приложениях, которые суммарно установили не менее 2,3 млн раз. Зараженные приложения маскировались под утилиты для очистки системы, фотогалереи и игры, не запрашивали подозрительных разрешений и выполняли заявленные функции.
Как сообщают исследователи из компании McAfee, после запуска приложения на устройстве жертвы малварь пыталась получить root-доступ, эксплуатируя старые уязвимости Android, исправленные в период с 2016 по 2021 год. Эксперты отмечают сходство NoVoice с известным Android-трояном Triada, однако связать эту кампанию с конкретной группировкой пока не удалось.
Схема атаки
Специалисты объясняют, что злоумышленники скрывали вредоносные компоненты в пакете com.facebook.utils, смешав их с легитимными классами в Facebook* SDK. Зашифрованная полезная нагрузка (enc.apk) извлекалась из PNG-файла при помощи стеганографии, загружалась в память, а все промежуточные файлы уничтожались.
Перед началом работы малварь проводила 15 проверок, стараясь обнаружить эмуляторы, дебаггеры и VPN, а также не атаковала устройства, если они работали в определенных регионах (в частности, в Пекине и Шэньчжэне).
Затем NoVoice связывалась с управляющим сервером, собирала информацию об устройстве (данные о железе, версию ядра и Android, список установленных приложений, статус root) и на основе этого подбирала стратегию эксплуатации. Каждые 60 секунд малварь опрашивала управляющий сервер и загружала специфичные для конкретного устройства эксплоиты.
В общей сложности исследователи насчитали 22 эксплоита, включая use-after-free-баги в ядре и уязвимости драйвера Mali GPU. Эти уязвимости предоставляли операторам малвари root-шелл и позволяли отключить SELinux, фактически снимая базовую защиту устройства.
После получения root-доступа малварь подменяла ключевые системные библиотеки (libandroid_runtime.so и libmedia_jni.so) модифицированными версиями со встроенными хуками, которые перехватывали системные вызовы и перенаправляли выполнение на вредоносный код.
Руткит закреплялся в системе сразу несколькими способами: устанавливал скрипты восстановления, подменял обработчик системных сбоев своим загрузчиком и размещал резервные пейлоады в системном разделе. Поскольку этот раздел не очищается при сбросе к заводским настройкам, NoVoice может «пережить» даже полный сброс устройства. Кроме того, отдельный демон проверяет целостность руткита раз в минуту и при необходимости переустанавливает отсутствующие компоненты или принудительно перезагружает устройство.
На этапе постэксплуатации вредоносный код внедряется в каждое запускаемое на устройстве приложение. Но главная цель злоумышленников — мессенджер WhatsApp. При запуске мессенджера малварь извлекает базы данных с шифрованием, ключи протокола Signal, номер телефона и данные бэкапа Google Drive. Все это отправляется на управляющий сервер, что позволяет операторам малвари клонировать WhatsApp-сессию жертвы на своем устройстве.
При этом в McAfee подчеркивают, что модульная архитектура NoVoice позволяет использовать и другие полезные нагрузки, нацеленные на любые другие приложения.
В настоящее время все зараженные приложения уже удалены из магазина Google Play после того, как исследователи уведомили о проблеме представителей Google. Тем не менее пользователям, которые ранее установили вредоносные приложения, рекомендуют считать свои устройства и данные скомпрометированными.
Как сообщают исследователи из компании McAfee, после запуска приложения на устройстве жертвы малварь пыталась получить root-доступ, эксплуатируя старые уязвимости Android, исправленные в период с 2016 по 2021 год. Эксперты отмечают сходство NoVoice с известным Android-трояном Triada, однако связать эту кампанию с конкретной группировкой пока не удалось.
Схема атакиСпециалисты объясняют, что злоумышленники скрывали вредоносные компоненты в пакете com.facebook.utils, смешав их с легитимными классами в Facebook* SDK. Зашифрованная полезная нагрузка (enc.apk) извлекалась из PNG-файла при помощи стеганографии, загружалась в память, а все промежуточные файлы уничтожались.
Перед началом работы малварь проводила 15 проверок, стараясь обнаружить эмуляторы, дебаггеры и VPN, а также не атаковала устройства, если они работали в определенных регионах (в частности, в Пекине и Шэньчжэне).
Затем NoVoice связывалась с управляющим сервером, собирала информацию об устройстве (данные о железе, версию ядра и Android, список установленных приложений, статус root) и на основе этого подбирала стратегию эксплуатации. Каждые 60 секунд малварь опрашивала управляющий сервер и загружала специфичные для конкретного устройства эксплоиты.
В общей сложности исследователи насчитали 22 эксплоита, включая use-after-free-баги в ядре и уязвимости драйвера Mali GPU. Эти уязвимости предоставляли операторам малвари root-шелл и позволяли отключить SELinux, фактически снимая базовую защиту устройства.
После получения root-доступа малварь подменяла ключевые системные библиотеки (libandroid_runtime.so и libmedia_jni.so) модифицированными версиями со встроенными хуками, которые перехватывали системные вызовы и перенаправляли выполнение на вредоносный код.
Руткит закреплялся в системе сразу несколькими способами: устанавливал скрипты восстановления, подменял обработчик системных сбоев своим загрузчиком и размещал резервные пейлоады в системном разделе. Поскольку этот раздел не очищается при сбросе к заводским настройкам, NoVoice может «пережить» даже полный сброс устройства. Кроме того, отдельный демон проверяет целостность руткита раз в минуту и при необходимости переустанавливает отсутствующие компоненты или принудительно перезагружает устройство.
На этапе постэксплуатации вредоносный код внедряется в каждое запускаемое на устройстве приложение. Но главная цель злоумышленников — мессенджер WhatsApp. При запуске мессенджера малварь извлекает базы данных с шифрованием, ключи протокола Signal, номер телефона и данные бэкапа Google Drive. Все это отправляется на управляющий сервер, что позволяет операторам малвари клонировать WhatsApp-сессию жертвы на своем устройстве.
При этом в McAfee подчеркивают, что модульная архитектура NoVoice позволяет использовать и другие полезные нагрузки, нацеленные на любые другие приложения.
В настоящее время все зараженные приложения уже удалены из магазина Google Play после того, как исследователи уведомили о проблеме представителей Google. Тем не менее пользователям, которые ранее установили вредоносные приложения, рекомендуют считать свои устройства и данные скомпрометированными.