Поиграл в "чистильщик" — получил root. NoVoice показала, как легко взломать Android

В Google Play нашли десятки приложений, за которыми скрывался опасный набор вредоносных модулей для Android. С виду такие программы выглядели безобидно: чистильщики, игры, утилиты для галереи. После запуска приложения работали как обещали и не вызывали подозрений, но в фоне связывались с удалённым сервером, подбирали способ взлома под конкретный смартфон и, при удаче, получали полный контроль над устройством.

О кампании рассказала McAfee. Специалисты назвали операцию NoVoice. По их данным, вредоносные приложения использовали старые уязвимости Android, для которых Google выпускала исправления с 2016 по 2021 год. Устройства с уровнем обновления безопасности от 1 мая 2021 года и новее не подвержены тем способам взлома, которые удалось получить с управляющего сервера. При этом заражённые приложения могли загружать и другие модули, поэтому риск для уже установивших такие программы полностью исключать нельзя.

McAfee выявила более 50 вредоносных приложений, которые суммарно скачали не меньше 2,3 млн раз. После сообщения компании Google удалила программы из Google Play и заблокировала связанные учётные записи разработчиков.

После первого запуска приложение собирало сведения об устройстве и загружало набор модулей, подходящий под модель смартфона, версию системы и другие параметры. Если цепочка срабатывала, вредоносная программа получала права суперпользователя и встраивала код в системные библиотеки Android. После такого вмешательства атакующие могли запускать свой код внутри почти любого приложения на смартфоне.

Одна из найденных задач была нацелена на WhatsApp. Вредоносный модуль собирал данные, нужные для клонирования сеанса, включая ключи, идентификаторы и сведения из локального хранилища, а затем отправлял информацию на сервер злоумышленников. По оценке McAfee, такой набор данных позволял перенести чужой сеанс WhatsApp на другое устройство.

Самая неприятная часть истории связана со стойкостью заражения. На старых смартфонах с Android 7 и более ранними версиями, которые уже не получают обновления безопасности, вредоносная программа могла пережить даже сброс к заводским настройкам. Обычная очистка удаляла пользовательские данные, но не трогала изменённые системные файлы. Полностью очистить смартфон можно только установкой чистой прошивки.

Для маскировки авторы кампании использовали сразу несколько приёмов. Вредоносный код прятали внутри файлов изображений, где после конца обычной картинки добавляли зашифрованную нагрузку. В самих приложениях не было подозрительных разрешений, а вредоносные компоненты маскировались под части известных библиотек. Перед продолжением атаки цепочка проверяла, не работает ли приложение в среде анализа, не запущен ли отладчик, не используется ли эмулятор или прокси.

После закрепления в системе вредоносная программа связывалась с управляющей инфраструктурой примерно раз в минуту, загружала новые модули и могла восстанавливать собственные компоненты, если кто-то пытался удалить заражение. Отдельный процесс следил за целостностью установки и при сбоях заново разворачивал нужные части. По сути, речь идёт о полноценно собранной платформе, которую можно использовать для самых разных задач, а не только для кражи данных из WhatsApp.

NoVoice имеет признаки родства с семейством Android.Triada. О прямом продолжении старой кампании авторы отчёта не говорят, но указывают на схожие методы закрепления в системе и общие признаки в коде.

Больше всего заражений зафиксировали в Нигерии, Эфиопии, Алжире, Индии и Кении. McAfee связывает картину с распространённостью недорогих устройств и старых версий Android, которые давно не получают исправления безопасности. Пользователям Android советуют проверить уровень обновления безопасности, удалить подозрительные приложения и не рассчитывать на простой сброс настроек, если есть признаки заражения на старом устройстве. В таком случае надёжным вариантом остаётся только полная перепрошивка.