Google Play-də genişmiqyaslı zərərli kampaniya aşkar edilib: NoVoice adlı zərərli proqram 50-dən çox tətbiqdə gizlənib və ümumilikdə ən azı 2,3 milyon dəfə yüklənib. Yoluxmuş tətbiqlər sistem təmizləmə alətləri, foto qalereyalar və oyunlar kimi maskalanıb, şübhəli icazələr istəməyib və görünüşdə normal işləyib.
McAfee tədqiqatçılarının bildirdiyinə görə, tətbiq işə salındıqdan sonra zərərli proqram Android-in 2016–2021-ci illərdə aradan qaldırılmış köhnə zəifliklərindən istifadə edərək cihazda root hüquqları əldə etməyə çalışır. Mütəxəssislər NoVoice-un məşhur Triada trojanına bənzədiyini qeyd etsələr də, bu kampaniyanı konkret bir qrupla əlaqələndirmək hələ mümkün olmayıb.
Mütəxəssislər izah edir ki, hücumçular zərərli komponentləri com.facebook.utils paketində gizlədərək onları Facebook SDK-nın legitim sinifləri ilə qarışdırıblar. Şifrələnmiş zərərli fayl (enc.apk) PNG şəkil faylından steganografiya vasitəsilə çıxarılıb, yaddaşa yüklənib və bütün aralıq fayllar silinib.
İşə başlamazdan əvvəl zərərli proqram 15 müxtəlif yoxlama aparır: emulatorları, debuggerləri və VPN-ləri aşkar etməyə çalışır, həmçinin bəzi regionlarda (xüsusilə Pekin və Şençjen) işləyən cihazlara hücum etmir.
Daha sonra NoVoice idarəetmə serveri ilə əlaqə qurur, cihaz haqqında məlumatları (hardware, kernel və Android versiyası, quraşdırılmış tətbiqlər, root statusu və s.) toplayır və buna uyğun hücum strategiyasını seçir. Hər 60 saniyədən bir serverlə əlaqə saxlayaraq konkret cihaz üçün uyğun exploitləri yükləyir.
Ümumilikdə tədqiqatçılar 22 exploit aşkar ediblər. Bunlara kernel-də “use-after-free” tipli səhvlər və Mali GPU driver zəiflikləri daxildir. Bu boşluqlar hücum edənlərə root-shell əldə etməyə və SELinux qorumasını söndürməyə imkan verir, beləliklə cihazın əsas təhlükəsizlik mexanizmləri deaktiv edilir.
Root əldə edildikdən sonra zərərli proqram əsas sistem kitabxanalarını (libandroid_runtime.so və libmedia_jni.so) dəyişdirərək onların yerinə daxilində zərərli “hook”lar olan modifikasiya edilmiş versiyalarını yerləşdirir. Bu “hook”lar sistem çağırışlarını ələ keçirir və icranı zərərli koda yönləndirir.
Rootkit sistemdə qalıcı olmaq üçün bir neçə üsuldan istifadə edir: bərpa skriptləri quraşdırır, sistem səhvlərinin emalını öz yükləyicisi ilə əvəz edir və sistem bölməsində ehtiyat zərərli fayllar saxlayır. Bu bölmə factory reset zamanı silinmədiyi üçün NoVoice hətta tam sıfırlamadan sonra da aktiv qala bilir. Bundan əlavə, xüsusi bir servis hər dəqiqə rootkit-in bütövlüyünü yoxlayır və lazım olduqda itmiş komponentləri bərpa edir və ya cihazı məcburi yenidən başladır.
Post-istismar mərhələsində zərərli kod cihazda işə salınan hər tətbiqə inteqrasiya olunur. Lakin əsas hədəf WhatsApp messenceridir. Tətbiq açıldıqda zərərli proqram şifrələnmiş verilənlər bazalarını, Signal protokol açarlarını, telefon nömrəsini və Google Drive ehtiyat nüsxə məlumatlarını çıxararaq idarəetmə serverinə göndərir. Bu isə hücumçulara istifadəçinin WhatsApp sessiyasını öz cihazlarında klonlamağa imkan verir.
McAfee qeyd edir ki, NoVoice-un modul arxitekturası digər tətbiqlərə yönəlmiş əlavə zərərli yüklərin də istifadəsinə imkan verir.
Hazırda bütün yoluxmuş tətbiqlər Google Play mağazasından silinib. Bununla belə, bu tətbiqləri əvvəllər quraşdırmış istifadəçilərə cihazlarını və məlumatlarını artıq komprometasiya olunmuş hesab etmələri tövsiyə olunur.
