Este vorba despre malware-ul „NoVoice”, care a reușit să ajungă pe peste 2,3 milioane de dispozitive, într-un scenariu rar în care aplicațiile compromise au fost descărcate chiar din magazinul oficial al Google, scrie TechRepublic.
Malware ascuns în aplicații obișnuite
Problema a fost identificată inițial de cercetătorii de la McAfee, care au descoperit că aproximativ 50 de aplicații Android conțineau cod malițios ascuns.
Aceste aplicații păreau complet legitime: jocuri, aplicații de curățare sau galerii foto, care funcționau normal și ofereau exact ceea ce promiteau. Tocmai acest lucru le-a ajutat să treacă de verificările inițiale și să nu ridice suspiciuni.
Ulterior, aplicațiile au fost raportate și eliminate de Google, însă nu înainte de a fi descărcate de milioane de utilizatori.
Cum funcționează malware-ul „NoVoice”
Pericolul real apare după instalare. Malware-ul rămâne inițial „adormit”, evitând detectarea. După lansarea aplicației, acesta începe să caute vulnerabilități mai vechi din sistemul Android, unele cunoscute și remediate între 2016 și 2021.
Dacă găsește un punct slab, malware-ul încearcă să obțină acces complet la sistem (root), ascunzându-și activitatea în componente care par legitime.
Cum poți să activezi sau să dezactivezi mesajele RO-ALERT. Ghidul complet, pas cu pas
Ulterior, extrage cod ascuns din fișiere aparent inofensive și îl execută direct în memorie, fără a lăsa urme evidente.
Date colectate și control de la distanță
După activare, malware-ul începe să colecteze informații sensibile despre dispozitiv:
- detalii hardware
- versiunea sistemului Android
- aplicațiile instalate
- statusul de securitate al telefonului
Aceste date sunt trimise către un server de comandă și control, de unde atacatorii pot transmite noi instrucțiuni la fiecare 60 de secunde, adaptate pentru fiecare dispozitiv infectat.
Ținta: control total asupra telefonului
Scopul final al atacului este obținerea controlului complet asupra dispozitivului. Cercetătorii au identificat nu mai puțin de 22 de metode diferite de exploatare, inclusiv vulnerabilități ale sistemului și ale driverelor grafice.
Odată compromis, telefonul poate fi manipulat prin înlocuirea unor componente esențiale ale sistemului Android cu versiuni modificate, ceea ce permite rularea de cod malițios fără ca utilizatorul să își dea seama.
Un caz rar, dar periculos
De regulă, astfel de atacuri apar în aplicații descărcate din surse externe. În acest caz însă, malware-ul a reușit să pătrundă direct în Google Play Store, ceea ce îl face cu atât mai periculos.
Specialiștii avertizează că utilizatorii trebuie să fie vigilenți, chiar și atunci când instalează aplicații din surse oficiale, mai ales dacă dispozitivele nu sunt actualizate la zi.
Milioane de utilizatori, expuși fără să știe
Chiar dacă aplicațiile au fost eliminate între timp, riscul rămâne pentru cei care le-au instalat deja. În lipsa unor măsuri rapide, dispozitivele afectate pot continua să fie vulnerabile, fără ca utilizatorii să își dea seama că datele lor sunt monitorizate sau că telefonul este controlat de la distanță.
