Исследователи McAfee сообщили о крупной Android-кампании Operation NoVoice: вредоносный код распространялся через более чем 50 приложений, которые раньше были доступны в Google Play. Суммарно такие приложения набрали более 2,3 млн загрузок. Реальное количество пострадавших устройств неизвестно.
По данным McAfee, NoVoice — это вредоносная кампания с признаками руткита. Руткит — это тип вредоносного ПО, который стремится получить максимально глубокие привилегии в системе и при этом скрыть своё присутствие от пользователя и стандартных средств защиты. В случае NoVoice вредоносный код мог собирать информацию об устройстве, подбирать эксплойт под конкретную модель и версию Android, а затем пытаться получить более высокий уровень доступа.
Читайте также: Хакеры атакуют пользователей Android через фальшивые приглашения в бета-версию ChatGPT
Главный риск связан со старыми или давно не обновлявшимися устройствами. На устаревших или непропатченных Android-смартфонах NoVoice мог использовать известные уязвимости для получения root-доступа. В таком сценарии заражение становилось особенно опасным: вредоносный код мог внедряться глубже в систему и, по словам исследователей, в некоторых случаях переживать обычный сброс к заводским настройкам. Для более новых устройств с актуальными обновлениями безопасности этот конкретный механизм рут-эксплуатации, по данным McAfee, не работает, хотя сами приложения всё равно могли выполнять вредоносные действия другого типа.
Приложения маскировались под повседневные инструменты: очистители памяти, игры, утилиты для фотографий и другие безобидные на вид программы. После запуска приложение могло выглядеть нормально и не вызывать подозрений, а параллельно связывалось с удалённым сервером, передавало сведения об устройстве и получало уже индивидуально подобранный вредоносный код. Кампания эксплуатировала известные уязвимости Android ради получения root-доступа. Вредонос пытается использовать старые слабые места ОС, остающиеся на устройствах без свежих патчей. В этом смысле кампания бьёт прежде всего по сегменту недорогих, устаревших или редко обновляемых аппаратов.
После ответственного раскрытия информации Google удалила обнаруженные приложения из Google Play и заблокировала связанные с ними аккаунты разработчиков. Однако удаление из магазина не означает автоматического исчезновения приложения со смартфонов пользователей: Google пишет в справке Play, что если приложение уже установлено, оно может остаться на устройстве, просто перестанет быть доступным для новых загрузок и обновлений через магазин.
Защита со стороны Google при этом во многом завязана на Google Play Protect — штатный механизм безопасности Android. Google сообщает, что Play Protect ежедневно сканирует более 350 млрд приложений и помогает выявлять вредоносное ПО как из Google Play, так и из сторонних источников. Компания рекомендует не отключать этот механизм, так как он — первая линия защиты для уже установленных приложений.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
