Android-haittaohjelma NoVoice levisi jopa 2,3 mljoonaan laitteeseen – voi kaapata WhatsApp-tilin

Android-haittaohjelma NoVoice on levinnyt laajasti Google Play -kaupassa jaetuissa sovelluksissa ja ehti kerätä yli 2,3 miljoonaa latausta ennen paljastumistaan, kertoo BleepingComputer.

Tietoturvayhtiö McAfeen tutkijoiden mukaan haittaohjelmaa jaettiin yli 50 sovelluksen kautta, jotka näyttivät täysin harmittomilta ja toimivat kuten lupasivat. Mukana oli muun muassa laitteen siivoamiseen tarkoitettuja sovelluksia, kuvagallerioita ja pelejä.

NoVoice ei vaatinut mitään poikkeavia käyttöoikeuksia, mikä teki siitä erityisen vaikeasti havaittavan.

Kun käyttäjä avasi tartunnan saaneen sovelluksen, haittaohjelma yritti saada laitteeseen pääkäyttäjäoikeudet hyödyntämällä vanhoja Android-haavoittuvuuksia, jotka on paikattu vuosien 2016-2021 aikana.

Hyökkääjä piilotti haitalliset komponentit osaksi näennäisesti tavanomaista koodia, kuten Facebookin ohjelmistokirjastoja. Lisäksi varsinainen haittakoodi oli kätketty PNG-kuvatiedostoon. Kun haittaohjelma aktivoitui, se purki ja ajoi koodin suoraan muistiin sekä poisti väliaikaiset tiedostot jälkien peittämiseksi.

NoVoice kommunikoi ohjauspalvelimen kanssa ja kerää laitteesta tietoja, kuten Android-version, tietoturvapäivityksen tason ja asennetut sovellukset. Tämän jälkeen se lataa laitekohtaisia hyökkäyskomponentteja, joiden avulla se voi murtautua järjestelmään.

Tutkijat havaitsivat jopa 22 eri hyväksikäyttömenetelmää, joilla haittaohjelma voi saada root-oikeudet, poistaa käytöstä Androidin suojausmekanismeja, muokata järjestelmäkirjastoja sekä säilyä toiminnassa myös tehdasasetusten palautuksen jälkeen.

Haittaohjelma asensi myös useita varmistusmekanismeja, jotka palauttavat haittakoodin, vaikka käyttäjä yrittäisi poistaa sen. Osa tiedostoista tallennetaan järjestelmäosioon, jota ei tyhjennetä tehdasasetusten palautuksessa. Lisäksi taustalla pyörivä prosessi tarkistaa jatkuvasti haittaohjelman tilan ja asentaa sen uudelleen tarvittaessa.

Erityisenä kohteena haittaohjelmalla oli WhatsApp. NoVoice pystyy varastamaan: viestien salausavaimia, käyttäjän tunnistetietoja sekä varmuuskopiointiin liittyviä tietoja Näiden avulla hyökkääjät voivat kloonata käyttäjän WhatsApp-istunnon omalle laitteelleen.

Google on poistanut haitalliset sovellukset Play-kaupasta, ja Google Play Protect estää niiden asentamisen jatkossa. Lisäksi Googlen mukaan laitteet, joissa on vähintään toukokuun 2021 tietoturvapäivitykset, ovat suojassa tältä haittaohjelmalta.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla