){kind=link}
Um novo malware para Android chamado NoVoice foi encontrado na Google Play, oculto em mais de 50 aplicativos que foram baixados pelo menos 2,3 milhões de vezes.
Os aplicativos que continham o código malicioso incluíam limpadores, galerias de imagens e jogos. Eles não solicitavam permissões suspeitas e ofereciam as funcionalidades prometidas.
smart_display
Nossos vídeos em destaque
Após a execução de um aplicativo infectado, o malware tentava obter acesso root no dispositivo explorando vulnerabilidades antigas do Android que receberam correções entre 2016 e 2021.
A operação NoVoice, foi descoberta por pesquisadores da McAfee, que não conseguiram associá-la a um agente de ameaças específico. No entanto, eles destacaram que o malware apresentava semelhanças com o trojan Triada para Android.
Cadeia de infecção do NoVoice
De acordo com os pesquisadores da McAfee, o agente de ameaças ocultou componentes maliciosos no pacote com.facebook.utils, misturando-os com as classes legítimas do SDK do Facebook.
Uma carga útil criptografada (enc.apk) escondida dentro de um arquivo de imagem PNG usando esteganografia é extraída (h.apk). Depois, ela é carregada na memória do sistema, enquanto apaga todos os arquivos intermediários para eliminar rastros.
A McAfee observa que o agente de ameaças evita infectar dispositivos em certas regiões, como Pequim e Shenzhen, na China. Além disso, o atacante implementou 15 verificações para emuladores, depuradores e VPNs. Se as permissões de localização não estiverem disponíveis, o malware continua a cadeia de infecção.
)
Em seguida, o malware consulta o servidor C2 a cada 60 segundos e baixa vários componentes para exploits específicos do dispositivo. Essas ferramentas são projetadas para obter acesso root no sistema da vítima.
Os pesquisadores criaram um mapa da cadeia de infecção, desde a fase de entrega até a fase de injeção.
Malware tem 22 exploits e camadas de persistência
A McAfee afirma ter observado 22 exploits, incluindo bugs de kernel do tipo “use-after-free” e falhas no driver da GPU Mali. Esses exploits fornecem aos operadores um shell com privilégios de root e permitem que eles desativem a aplicação do SELinux no dispositivo, efetivamente desativando suas proteções de segurança fundamentais.
)
Após obter acesso root no dispositivo, bibliotecas-chave do sistema, como libandroid_runtime. so e libmedia_jni.so são substituídas por wrappers modificados. Essas ferramentas interceptam chamadas do sistema e redirecionam a execução para o código de ataque.
O rootkit estabelece várias camadas de persistência, incluindo a instalação de scripts de recuperação, a substituição do manipulador de falhas do sistema por um carregador de rootkit e o armazenamento de cargas de backup na partição do sistema.
)
Um daemon de vigilância é executado a cada 60 segundos para verificar a integridade do rootkit e reinstala automaticamente os componentes ausentes. Se as verificações falharem, ele força o dispositivo a reiniciar, fazendo com que o rootkit seja recarregado.
Roubo de dados do WhatsApp
Durante a fase pós-exploração, um código controlado pelo invasor é injetado em todos os aplicativos iniciados no dispositivo. São implantados dois componentes principais, um que permite a instalação ou remoção silenciosa de aplicativos e outro que opera dentro de qualquer aplicativo com acesso à Internet.
Este último funciona como o principal mecanismo de roubo de dados, e a McAfee observou que ele tinha como alvo principal o aplicativo de mensagens WhatsApp.
)
Quando o WhatsApp é iniciado em um dispositivo infectado, o malware extrai os dados confidenciais necessários para replicar a sessão da vítima, incluindo bancos de dados de criptografia. Além das chaves do protocolo Signal e identificadores de conta, como número de telefone e detalhes do backup do Google Drive.
Essas informações são então exfiltradas para o C2, permitindo que os invasores clonem a sessão do WhatsApp da vítima em seu próprio dispositivo.
App foi removido da Play Store
Os pesquisadores observaram que, embora tenham recuperado apenas uma carga útil voltada para o WhatsApp, o design modular do NoVoice torna tecnicamente possível o uso de outras cargas úteis direcionadas a qualquer aplicativo no dispositivo.
)
Os aplicativos Android maliciosos que carregavam cargas úteis do NoVoice foram removidos do Google Play depois que a McAfee os denunciou ao Google. No entanto, os usuários que os instalaram anteriormente devem considerar seus dispositivos e dados comprometidos.
Como o NoVoice tem como alvo falhas corrigidas até maio de 2021, atualizar para um dispositivo que execute um patch de segurança mais recente mitiga efetivamente essa ameaça em sua forma atual. Recomenda-se que os usuários de Android atualizem para modelos com suporte ativo e instalem apenas aplicativos de desenvolvedores confiáveis e conhecidos, mesmo no Google Play.
Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.