Игры с секретом и поддельные библиотеки. Как работает новый вирус для Android
NewsMakerВредоносный код NoVoice научился выживать после сброса настроек смартфона до заводских.
В Google Play нашли десятки приложений, за которыми скрывался опасный набор вредоносных модулей для Android. С виду такие программы выглядели безобидно: чистильщики, игры, утилиты для галереи. После запуска приложения работали как обещали и не вызывали подозрений, но в фоне связывались с удалённым сервером, подбирали способ взлома под конкретный смартфон и, при удаче, получали полный контроль над устройством.
О кампании рассказала McAfee . Специалисты назвали операцию NoVoice. По их данным, вредоносные приложения использовали старые уязвимости Android, для которых Google выпускала исправления с 2016 по 2021 год. Устройства с уровнем обновления безопасности от 1 мая 2021 года и новее не подвержены тем способам взлома, которые удалось получить с управляющего сервера. При этом заражённые приложения могли загружать и другие модули, поэтому риск для уже установивших такие программы полностью исключать нельзя.
McAfee выявила более 50 вредоносных приложений, которые суммарно скачали не меньше 2,3 млн раз. После сообщения компании Google удалила программы из Google Play и заблокировала связанные учётные записи разработчиков.
После первого запуска приложение собирало сведения об устройстве и загружало набор модулей, подходящий под модель смартфона, версию системы и другие параметры. Если цепочка срабатывала, вредоносная программа получала права суперпользователя и встраивала код в системные библиотеки Android. После такого вмешательства атакующие могли запускать свой код внутри почти любого приложения на смартфоне.
В Google Play нашли десятки приложений, за которыми скрывался опасный набор вредоносных модулей для Android. С виду такие программы выглядели безобидно: чистильщики, игры, утилиты для галереи. После запуска приложения работали как обещали и не вызывали подозрений, но в фоне связывались с удалённым сервером, подбирали способ взлома под конкретный смартфон и, при удаче, получали полный контроль над устройством.
О кампании рассказала McAfee . Специалисты назвали операцию NoVoice. По их данным, вредоносные приложения использовали старые уязвимости Android, для которых Google выпускала исправления с 2016 по 2021 год. Устройства с уровнем обновления безопасности от 1 мая 2021 года и новее не подвержены тем способам взлома, которые удалось получить с управляющего сервера. При этом заражённые приложения могли загружать и другие модули, поэтому риск для уже установивших такие программы полностью исключать нельзя.
McAfee выявила более 50 вредоносных приложений, которые суммарно скачали не меньше 2,3 млн раз. После сообщения компании Google удалила программы из Google Play и заблокировала связанные учётные записи разработчиков.
После первого запуска приложение собирало сведения об устройстве и загружало набор модулей, подходящий под модель смартфона, версию системы и другие параметры. Если цепочка срабатывала, вредоносная программа получала права суперпользователя и встраивала код в системные библиотеки Android. После такого вмешательства атакующие могли запускать свой код внутри почти любого приложения на смартфоне.