В Google Play нашли вирус NoVoice, уже заразивший на 2,3 млн Android-устройств
Изображение: grok
В официальном магазине Google Play обнаружена масштабная вредоносная кампания — программа NoVoice успела проникнуть на 2,3 миллиона Android-устройств через более 50 приложений. Заражённые приложения нормально работали, не просили лишних разрешений и внешне ничем не отличались от обычных утилит. Исследователи McAfee раскрыли схему и восстановили полную цепочку заражения.
Маскировка была продумана до мелочей. В список заражённых приложений попали утилиты для очистки памяти, галереи и мобильные игры — всё, что не вызывает ни малейших подозрений. Приложения исправно делали то, что обещали, и не запрашивали ничего лишнего. Именно это и делало их убедительными.
После первого запуска в систему тихо внедряется вредоносный компонент, который начинает добиваться расширенных прав. Для этого используются уязвимости Android, закрытые ещё в период с 2016 по 2021 год. Ставка явно сделана на устройства, владельцы которых давно не обновляли системы.
Технически схема устроена хитро. Вредоносный компонент спрятан внутри пакета com.facebook.utils и перемешан с классами легитимного SDK Facebook — это серьёзно затрудняет анализ и помогает проскочить мимо базовых проверок. Зашифрованный файл enc.apk при этом прячется внутри обычной PNG-картинки с применением стеганографии. После извлечения он разворачивается в исполняемый модуль h.apk, загружается в память устройства, а все промежуточные следы стираются.
Вредонос умеет отбирать, кого заражать. В коде прописано 15 проверок на эмуляторы, отладочные инструменты и VPN. Отдельно реализовано исключение для ряда регионов — в частности, Пекина и Шэньчжэня. Если геолокация недоступна, процесс просто продолжается без остановки.
Получив плацдарм, NoVoice выходит на связь с управляющим сервером и начинает сбор информации об устройстве. В ход идут характеристики железа, версия ядра, данные об Android и уровне патчей, список установленных приложений и наличие root-доступа. Всё это нужно, чтобы выбрать дальнейшую стратегию атаки.
В цепочке эксплуатации задействовано 22 уязвимости — ошибки ядра, связанные с некорректной работой памяти, и проблемы в драйверах графических процессоров Mali. Их комбинация даёт злоумышленникам полный контроль над системой и позволяет отключить SELinux, убирая встроенные механизмы защиты. После закрепления вредонос каждые 60 секунд выходит на сервер управления и подгружает новые компоненты.
* Корпорация Meta, владеющая Facebook, признана экстремистской организацией и запрещена на территории Российской Федерации.
