Сложная вредоносная кампания для Android, получившая название "NoVoice", успешно проникла в официальный магазин Google Play и заразила, по оценкам, 2,3 миллиона устройств. Вредонос был скрыт в более чем 50 якобы легитимных приложениях, включая чистильщики, галереи изображений и игры. Эти приложения функционировали, как рекламировалось, и не запрашивали явно подозрительных разрешений, что позволило им обойти автоматические проверки безопасности Google и завоевать доверие пользователей перед развертыванием вредоносной нагрузки.
При запуске вредонос NoVoice пытается получить root-доступ на скомпрометированном устройстве, используя серию известных уязвимостей Android, некоторые из которых были исправлены в период с 2016 по 2021 год. Эта техника нацелена на устаревшие или непропатченные устройства, предоставляя вредоносу глубокие системные привилегии. Исследователи из McAfee, обнаружившие кампанию, отметили сильное сходство кода с печально известным трояном Triada для Android, что указывает на возможную связь или общую линию разработки, хотя они не смогли однозначно приписать операцию известному субъекту угроз.
Тактики маскировки и развертывания вредоноса заметно сложны. Вредоносные компоненты скрыты в пакете с именем `com.facebook.utils`, перемешанном с легитимным кодом Facebook SDK, чтобы избежать обнаружения. Основное зашифрованное вредоносное приложение (`enc.apk`) скрыто в файле изображения PNG с использованием стеганографии. После извлечения в память как `h.apk` вредонос стирает все промежуточные файлы, чтобы устранить следы. Кроме того, операторы внедрили 15 различных проверок на наличие эмуляторов, отладчиков и VPN-подключений, чтобы затруднить анализ и избежать песочниц.
Геофенсинг и сложные проверки образуют еще один уровень операционной безопасности вредоноса. Анализ McAfee показал, что вредонос избегает заражения устройств в определенных географических регионах, notably в Пекине и Шэньчжэне в Китае. Он также проверяет наличие разрешений на определение местоположения; если они недоступны, заражение продолжается в любом случае, что указывает на основную цель — широкое распространение за пределами этих регионов. Эта кампания подчеркивает постоянную угрозу: даже официальные магазины приложений являются полем битвы, где злоумышленники используют социальную инженерию и техническую обфускацию, чтобы эксплуатировать доверие миллионов пользователей.
