Игры и «полезняшки» с начинкой
Исследователи McAfee выявили вредонос NoVoice, который с большим успехом распространялся через Google Play: приложения, содержащие его компоненты, скачали не менее 2,3 млн раз.
Руткит NoVoice распространяется через утилиты очистки, галереи изображений и игры; что характерно, вся заявленная функциональность в них реализована, никаких подозрительных разрешений они не запрашивают и потому выглядят совершенно невинно.
Однако вредонос скрытно пытается получить административные права и, в случае успеха, начинает выводить технические данные об установленном на устройстве ПО, а затем пытаться склонировать локальные сессии WhatsApp*. Также вредонос пытается выкрасть протоколы ключей защищённого мессенджера Signal и другие идентификаторы, такие как номер телефона и учётные данные резервирования в Google Drive. В случае успеха потенциальный злоумышленник может воспроизвести текущую сессию WhatsApp* жертвы на своём устройстве.
Исследователи насчитали более 50 приложений, в которых был встроен NoVoice. Определить принадлежность вредоноса к какому-либо известному устойчивому кластеру угроз исследователи не смогли, но отметили, что он напоминает троянец Triada и что NoVoice избегает атак на пользователей в определённых регионах Китая (в частности, в Пекине и Шеньчжене).
Вредоносные компоненты внедрены в пакет com.facebook.utils, где они размещены вперемешку с легитимными классами набора разработки Facebook SDK. «Полезная нагрузка» - файл enc.apk - в зашифрованном виде хранится внутри файла PNG и посредством стеганографии, и после извлечения - загружается напрямую в память с устранением любых промежуточных файлов.
После установки вредонос производит сразу 15 различных проверок на предмет эмуляторов, отладочных средств и VPN-соединений.
22 эксплойта
Если все проверки проходят успешно, вредонос устанавливает соединение с контрольным сервером и переправляет туда подробности о программных и аппаратных спецификациях заражённого устройства, в т.ч. версию операционной системы, её ядра и установленных патчей, а также приложений и статуса рутования.
От этих сведений зависит дальнейшая стратегия взлома: необходимые компоненты постепенно закачиваются с командного сервера.
Всего эксперты McAfee насчитали сразу 22 эксплойта для разных подсистем и уязвимостей в них, в том числе - ошибок перезаписи данных на уровне ядра; уязвимости в драйверах GPU Mali, и т.д. Эти уязвимости используются для отключения защиты SELinux и получения максимальных привилегий в системе.
Более того, NoVoice применяет сразу несколько способов сохранения присутствия в системе, в том числе, скрипты восстановления, замену обработчиков сбоев и хранения резервных «полезных нагрузок» в системных разделах, которые не очищаются при сбросе настроек на заводские.
Специальный компоненты каждые 60 секунд проверяет целостность руткита и автоматически переустанавливает недостающие компоненты. Если этого сделать не удаётся, вредонос принудительно перезагружает устройство, в результате чего руткит переустанавливается целиком.
После того, как руткит получает контроль над устройством, ключевые системные библиотеки libandroid_runtime.so и libmedia_jni.so подменяются компонентами-перехватчиками, перенаправляющими системные вызовы на вредоносный код.
Хотя исследователи смогли идентифицировать только «полезную нагрузку», нацеленную на WhatsApp*, модульная архитектура NoVoice теоретически допускает его использование против любых других приложений, тем более, что на этапе пост-эксплуатации код вредоноса внедряется во все приложения, запускаемые на устройстве жертвы.
Важно отметить, что вредонос эксплуатирует только весьма старые уязвимости, характерные для версий Android 2016-2021 годов (и тогда же исправленные).
«Нацеленность руткита на старые уязвимости и отдельно взятый мессенджер заставляет предположить, что речь идёт о шпионском ПО, создатели которого примерно понимали, какими смартфонами пользуются потенциальные объекты их интереса, - считает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Столь широкое распространение NoVoice могло быть побочным эффектом, возможно даже, незапланированным».
К настоящему времени все приложения, содержавшие вредонос, из Google Play удалены.
*WhatsApp принадлежит корпорации Meta, признанной в России экстремистской
Поделиться
