В Google Play нашли вирус NoVoice, уже заразивший на 2,3 млн Android-устройств

В официальном магазине Google Play обнаружена масштабная вредоносная кампания: программа NoVoice проникла на 2,3 миллиона Android-устройств через более 50 приложений. Схему раскрыли исследователи McAfee.

Маскировка была продумана тщательно. В список заражённых приложений вошли утилиты для очистки памяти, галереи и мобильные игры – всё работало исправно и не запрашивало лишних разрешений, что делало их убедительными. После первого запуска в систему тихо внедрялся вредоносный компонент, использующий уязвимости Android, закрытые ещё в 2016–2021 годах, — ставка сделана на устройства с давно не обновлённой системой.

Технически схема устроена сложно. Вредоносный компонент спрятан внутри пакета, перемешанного с классами легитимного SDK Facebook*, а зашифрованный файл скрыт внутри PNG-картинки с применением стеганографии. После извлечения он разворачивается в исполняемый модуль, загружается в память, а промежуточные следы стираются. В коде прописаны 15 проверок на эмуляторы, отладочные инструменты и VPN, а также исключения для ряда китайских регионов.

Получив плацдарм, NoVoice выходит на связь с управляющим сервером и собирает данные об устройстве: характеристики железа, версию ядра, список приложений, наличие root-доступа. В цепочке эксплуатации задействованы 22 уязвимости, их комбинация даёт злоумышленникам полный контроль над системой и позволяет отключить SELinux. После закрепления вредонос каждые 60 секунд обращается к серверу управления и подгружает новые компоненты.