Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В «Play Маркете» обнаружены десятки приложений с вирусом NoVoice — их скачали 2,3 млн раз

В магазине Google «Play Маркет» обнаружены более 50 приложений, содержащих вирус NoVoice. Он эксплуатирует известные уязвимости в попытке получить доступ root. Эти приложения были скачаны в общей сложности не менее 2,3 млн раз.

 Источник изображения: Tom Sodoge / unsplash.com

Источник изображения: Tom Sodoge / unsplash.com

Среди содержащих вредоносную нагрузку приложений значатся фотогалереи, игры и программы для очистки — они обеспечивают обещанную функциональность и не требуют подозрительных разрешений. После запуска заражённого приложения вредоносный компонент пытается эксплуатировать старые уязвимости Android, исправленные в период с 2016 по 2021 годы, и пытается получить доступ root на устройстве. Угрозу обнаружили эксперты компании McAfee и не смогли связать её с конкретным злоумышленником, но отметили сходство вредоноса с трояном Triada.

Вредоносные компоненты помещаются в пакет «com.facebook.utils», смешиваясь с легитимными классами SDK Facebook. Зашифрованная полезная нагрузка в виде файла «enc.apk» размещается внутри файла изображения формата PNG, из которого извлекается и уже в виде «h.apk» загружается в системную память, а все промежуточные файлы для устранения следов удаляются. Заражение прекращается, если обнаруживается, что устройство находится в Пекине или Шэньчжэне (Китай); проводятся 15 проверок на наличие эмуляторов, отладчиков и VPN. Если обнаружить местоположение не удаётся, процесс заражения продолжается.

Вредоносный компонент связывается с сервером и передаёт ему информацию об устройстве: версию ядра, версию Android и исправлений безопасности, список установленных приложений и статус root — всё это помогает определить дальнейшую стратегию. Далее обращение к серверу производится каждые 60 секунд, загружаются различные компоненты специфичных для конкретного устройства эксплойтов, предназначенных для получения прав root на системе жертвы. Эксперты McAfee обнаружили 22 эксплойта, в том числе обращающиеся к ошибкам ядра, связанные с освобождением памяти после её использования и уязвимостью драйверов графики Mali. Эти эксплойты открывают операторам root-оболочку, позволяя отключить систему защиты SELinux.

 Источник изображения: Soheb Zaidi / unsplash.com

Источник изображения: Soheb Zaidi / unsplash.com

Когда доступ root уже получен, вредонос подменяет системные библиотеки «libandroid_runtime.so» и «libmedia_jni.so» на модифицированные версии, которые перехватывают системные вызовы. Руткит устанавливает несколько уровней постоянного присутствия, в том числе создаёт скрипты восстановления, подменяет обработчик сбоев системы и сохраняет резервные полезные нагрузки в системном разделе — эта часть памяти устройства при сбросе к заводским настройкам не очищается, так что и после тщательной очистки вредонос продолжает действовать на устройстве. Каждый 60 секунд запускается сторожевой демон, который проверяет целостность руткита и автоматически переустанавливает отсутствующие компоненты.

Когда все вредоносные компоненты установлены, развёртываются два функциональных: один обеспечивает скрытую установку и удаление приложений, второй подключается к любому приложению с доступом в интернет и производит кражу данных. Чаще всего данные крадутся из мессенджера WhatsApp. При запуске мессенджера на заражённом устройстве вредонос извлекает конфиденциальные данные: базы и ключи шифрования, а также идентификаторы учётных записей, такие как номер телефона и данные резервного копирования на «Google Диск». Информация передаётся на управляющий сервер, в результате чего злоумышленники могут клонировать сессии WhatsApp на своих устройствах. Модульная архитектура вируса технически позволяет использовать другие полезные нагрузки для любого другого приложения на устройстве.

Устройства с обновлениями после мая 2021 года защищены от NoVoice, потому что эксплуатируемые вирусом уязвимости были закрыты несколько лет назад, сообщили ресурсы BleepingComputer в Google и добавили: «В качестве дополнительной меры защиты Google Play Protect автоматически удаляет эти приложения и блокирует новые установки. Пользователям всегда следует устанавливать обновления безопасности, доступные для их устройств». Владельцам уже подвергшихся заражению устройств, однако, следует считать их и содержащиеся на них данные скомпрометированными.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Сливший iOS 26 до анонса блогер свалил вину на своего сообщника 8 мин.
«Время — это конструкт»: научно-фантастический триллер Ontos от создателей Amnesia и Soma перенесли на 2027 год 20 мин.
Citrix анонсировала XenServer 9 — альтернативу решениям VMware 22 мин.
Американские правозащитники объявили соцсеть X серьёзной угрозой для конфиденциальности американцев 33 мин.
Relic анонсировала «захватывающую» роглайт-стратегию Company of Heroes 3: Final Stand — трейлер, дата выхода и подробности геймплея 2 ч.
Вопрос передачи доли в Anthropic властям США пока не обсуждался 6 ч.
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 12 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 15 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 16 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 16 ч.
США разрешат сверхзвуковым авиалайнерам летать над городами, но при одном условии 6 мин.
Возвращение к DDR4 идёт полным ходом: Intel возобновила производство процессоров Raptor Lake 29 мин.
Учёные вдохновились пустельгой и разработают дрон, противостоящий порывам ветра 33 мин.
2 июля начали принимать работы для участия в фотоконкурсе «Снято на Camon» компании Tecno 37 мин.
Квартальные продажи Ethernet-коммутаторов взлетели на 40 %, а NVIDIA выбилась в лидеры в ЦОД-сегменте 2 ч.
Илон Маск признался, что объёмы выпуска роботов Tesla Optimus на первых порах будут скромными 4 ч.
Kioxia начала поставлять образцы передовой 332-слойной памяти 3D NAND десятого поколения 4 ч.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 9 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 10 ч.
Новая статья: Обзор Midea VCR V15 EVO ULTRA: я просто хорошо убираю любое помещение 11 ч.