Operațiunea NoVoice, o campanie de malware Android dezvoltată pentru a viza dispozitivele mobile din întreaga lume, a fost recent detectată de echipa de cercetare mobilă a companiei de securitate McAfee. Campania se axează pe exploatarea unor vulnerabilități vechi ale sistemului de operare Android, pentru care au fost lansate patch-uri între 2016 și 2021, dar care continuă să fie folosite de atacatori pentru a infiltra dispozitivele utilizatorilor.
Cum ajungea virusul pe telefoane
Infectarea telefoanelor se realiza prin aplicații frauduloase, care se deghizau în utilitare sau jocuri populare, și erau distribuite prin magazinul oficial Google Play. În total, cele 50 de aplicații identificate au fost descărcate de peste 2,3 milioane de utilizatori, conform datelor colectate de către specialiști. După ce utilizatorul deschidea una dintre aceste aplicații, aceasta se conecta în mod clandestin la un server extern.
De acolo, aplicația descărca un exploit adaptat specific modelului și versiunii de software a dispozitivului. Malware-ul suprascria apoi o bibliotecă centrală a sistemului de operare, facilitând astfel rulearea code-ului malițios în toate aplicațiile deschise de utilizator. Această metodă complexă permitea atacatorilor să pătrundă adânc în funcționarea telefonului, făcând identificarea și eliminarea programului malițios extrem de dificilă.
De ce este atât de periculos
Nivelul de acces obținut de malware este complet, ceea ce înseamnă că atacatorii pot extrage date fără ca utilizatorul să fie conștient. Codul malițios rulează invizibil în fundal și nu afectează în mod aparent funcționarea normală a telefonului, însă poate prelua controlul dispozitivului și accesa informații sensibile ca mesaje, fotografii sau date din aplicațiile bancare.
Un alt aspect îngrijorător este persistența infecției. Resetarea telefonului la setările din fabrică nu duce la eliminarea malware-ului, ceea ce face dificilă combaterea acestei campanii. Singura soluție tehnică de eliminare rămâne reinstalarea completă a firmware-ului dispozitivului, o operațiune accesibilă mai degrabă celor specializați în reparații decât utilizatorilor obișnuiți.
Cine este cel mai expus
Campania NoVoice s-a concentrat în special pe dispozitive vechi, al căror sistem de operare nu mai primește update-uri de securitate. Aceasta a dus la o vulnerabilitate sporită în fața exploit-urilor cunoscute de ani de zile, exploatate de atacatori pentru a pătrunde în dispozitivele vulnerabile. În mod particular, zonele geografice precum Etiopia, Algeria, Kenya și India au înregistrat cele mai numeroase cazuri, însă campania a avut o amploare globală.
Specialiștii avertizează că dispozitivele care nu primesc actualizări regulate sunt cele mai expuse la astfel de riscuri. În cazul în care smartphone-ul nu mai beneficiază de patch-uri de securitate, vulnerabilitățile vechi pot fi exploatate oricând. Recomandarea principală este actualizarea continuă a sistemului de operare sau, acolo unde aceasta nu mai este posibilă, înlocuirea dispozitivului.
Este esențial ca utilizatorii să fie conștienți de riscuri. Campania NoVoice evidențiază faptul că dispozitivele vechi, aparent sigure, pot ascunde amenințări majore, chiar și atunci când nu exista indicatori vizibili ai unei infecții. Conform specialiștilor, singura metodă sigură de a elimina malware-ul include reinstalarea completă a firmware-ului, o operațiune complicată pentru majoritatea utilizatorilor obișnuiți, și necesită ajutor specializat. Data de lansare a patch-urilor pentru cele mai afectate modele variază între 2016 și 2021, dar vulnerabilitățile exploatate continuă să fie utilizate de hackeri și în prezent.
