تمكّنت حملة خبيثة متطورة لنظام أندرويد، أُطلق عليها اسم "NoVoice"، من التسلل إلى متجر جوجل بلاي الرسمي وإصابة ما يقدر بـ 2.3 مليون جهاز. تم إخفاء البرنامج الضار داخل أكثر من 50 تطبيقًا تبدو شرعية، بما في ذلك برامج التنظيف ومعارض الصور والألعاب. عملت هذه التطبيقات كما هو معلن ولم تطلب أذونات مريبة بشكل صارخ، مما سمح لها بتجاوز المراجعات الأمنية الآلية لجوجل وكسب ثقة المستخدمين قبل نشر حمولتها الضارة.
عند التشغيل، يحاول برنامج NoVoice الضار الحصول على صلاحية "الجذر" root على الجهاز المخترق من خلال استغلال سلسلة من الثغرات المعروفة في نظام أندرويد، بعضها تم تصحيحه بين عامي 2016 و2021. تستهدف هذه التقنية الأجهزة القديمة أو غير المحدثة، مما يمنح البرنامج الضار صلاحيات نظام عميقة. لاحظ باحثو شركة ماكافي، الذين اكتشفوا الحملة، تشابهًا قويًا في الكود مع حصان طروادة Triada الشهير لنظام أندرويد، مما يشير إلى وجود صلة محتملة أو سلالة تطوير مشتركة، على الرغم من أنهم لم يتمكنوا من نسب العملية بشكل قاطع إلى جهة تهديد معروفة.
تكتيكات التخفي والنشر للبرنامج الضار متطورة بشكل ملحوظ. يتم إخفاء المكونات الضارة داخل حزمة تحمل اسم `com.facebook.utils`، ومختلطة مع كود Facebook SDK الشرعي لتجنب الكشف. يتم إخفاء الحمولة الأساسية المشفرة (`enc.apk`) داخل ملف صورة PNG باستخدام تقنية إخفاء المعلومات Steganography. بمجرد استخراجها في الذاكرة كـ `h.apk`، يقوم البرنامج الضار بمسح جميع الملفات الوسيطة لإزالة الآثار الجنائية. علاوة على ذلك، نفذ المشغلون 15 فحصًا متميزًا للمحاكيات الافتراضية وأدوات التصحيح واتصالات VPN لإعاقة التحليل وتجنب البيئات المعزولة (الساندبوكس).
تشكل تقنية الحجب الجغرافي والفحوصات المتطورة طبقة أخرى من أمن عمليات البرنامج الضار. كشف تحليل ماكافي أن البرنامج الضار يتجنب إصابة الأجهزة في مناطق جغرافية محددة، notably بكين وشينزن في الصين. كما يتحقق من أذونات الموقع؛ إذا لم تكن متاحة، فإن الإصابة تستمر بغض النظر، مما يشير إلى تركيز أساسي على التوزيع الواسع خارج هذه المناطق. تؤكد هذه الحملة تهديدًا مستمرًا: حتى متاجر التطبيقات الرسمية هي ساحات معركة حيث يستخدم الجهات الخبيثة الهندسة الاجتماعية والتعتيم التقني لاستغلال ثقة الملايين من المستخدمين.
