Σύνοψη

  • Περισσότερες από 50 εφαρμογές στο Google Play Store έχουν μολυνθεί από το Operation NoVoice, το οποίο έχει ξεπεράσει τα 2.3 εκατομμύρια downloads.
  • To malware λειτουργεί ως rootkit, αποκτώντας τόσο βαθιά πρόσβαση στο Android όπως και τροποποιώντας τις βασικές βιβλιοθήκες του συστήματος
  • H μόλυνση συνεχίζει να υφίστατι ακόμη και μετά από factory reset, κάτι που καθιστά αναγκαία την επανεγκατάσταση του λειτουργικού.

Η McAfee ανακάλυψε περισσότερες από 50 εφαρμογές να είναι μολυσμένες στο Play Store με ένα άκρως επικίνδυνο rootkit, το οποίο αποκτά βαθιά πρόσβαση στο λειτουργικό σύστημα των συσκευών. 

Ο λόγος για μια εκστρατεία κακόβουλου λογισμικού στο Android, που φέρει την ονομασία Operation NoVoice. Πρόκειται για malware το οποίο κατάφερε να εισέλθει στο Google Play Store μέσω 50 αθώων εφαρμογών, οι οποίες έχουν σημειώσει πάνω από 2.3 εκατομμύρια downloads, πριν τελικά αφαιρεθεί από την ίδια την Google. 

Ένα από τα πιο ενδιαφέροντα και την ίδια στιγμή, ανησυχητικά στοιχεία, είναι το γεγονός ότι μπορεί να αποκτήσει βαθιά πρόσβαση στο σύστημα, λειτουργώντας ως rootkit που επιβιώνει ακόμη και μετά από επαναφορά εργοστασιακών ρυθμίσεων, δηλαδή factory reset.

Πως λειτουργεί το Operation Novoice και το root exploit

Το Operation NoVoice ανήκει στην κατηγορία του rootkit malware. Δηλαδή, έχει σχεδιαστεί για να αποκτήσει το υψηλότερο επίπεδο πρόσβασης σε μια συσκευή Android, πετυχαίνοντας να παραμείνει αόρατο από τα συνηθισμένα εργαλεία ασφαλείας του λειτουργικού, όπως για παράδειγμα το Google Play Protect το οποίο βρίσκεται εγκατεστημένο και ενεργοποιημένο εκ προεπιλογής στο Android. 

  • Ο όρος root αναφέρεται στο υψηλότερο επίπεδο πρόσβασης σε ένα σύστημα
  • Ο όρος kit αναφέρεται σε μια συλλογή εργαλείων που χρησιμοποιείται από μια ομάδα επιτιθεμένων

Η διαδικασία της μόλυνσης είναι απλή και ξεκινά όταν ο χρήστης κατεβάσει μια απο τις μολυσμένες εφαρμογές, οι οποίες εμφανίζονται ως διάφορα εργαλεία καθαρισμού στο Android, (cleaners), εφαρμογές επεξεργασίας φωοτογραφιών και στη πλειονότητά τους αθώες. Αν και δεν θα έπρεπε να κατεβάζει cleaners καθόλου, καθώς στη πλειονότητα των περιπτώσεων το Android έχει τα κατάλληλα εργαλεία για να σου επιτρέψει να καθαρίσεις τη συσκευή. 

Παρασκηνιακά όμως, η εφαρμογή επικοινωνεί με απομακρυσμένο server, συλλέγοντας δεδομένα για το υλικό της συσκευής, την έκδοση του λειτουργικού ή για τα security patches τα οποία βρίσκονται εντός αυτής.

Εφόσον τρέξει μια σειρά ελέγχων και κρίνει ότι η συσκευή είναι ευάλωτη, στέλνει τον κατάλληλο κώδικα για να εκτελεστεί το root exploit. Εφόσον η  διαδικασία στεφθεί με επιτυχία, το malware αποκτά πρόσβαση σε επίπεδο root στη συσκευή, με τους επιτιθέμενους να μπορούν να εγκαταστήσουν πρόσθετα κακόβουλα components ή να τροποποιήσουν μέρη του λειτουργικού συστήματος Android.

Ο κίνδυνος και η προέλευση του ονόματος

Αξίζει να σημειωθεί ότι ο μεγαλύτερος κίνδυνος αφορά τη δυνατότητα που έχει το Operation Novoice να επιβιώνει μετά από ένα factory reset, δηλαδή μετά από μια επαναφορά εργοστασιακών ρυθμίσεων. Σε ορισμένες περιπτώσεις, η μόλυνση παραμένει όπως εξηγεί η McAfee καθώς το επιβλαβή components τροποποιούν μέρη του λειτουργικού συστήματος που δεν αντικαθίστανται ή διαγράφονται μετά από ένα τυπικό reset. Δηλαδή, για την πλήρη αφαίρεση της μόλυνσης, ίσως χρειαστεί μια επανεγκατάσταση του firmware της συσκευής, κάτι που δεν μπορεί να γίνει από έναν απλό χρήστη στο σπίτι. 

Η ονομασία Operation NoVoice προέρχεται από ένα component εντός του malware. Οι ερευνητές ανακάλυψαν ένα resource που αποκαλείται novioce και το οποίο μπαίνει σε επόμενα στάδια. Περιέχει ένα αρχείο ήχου το οποίο αναπαράγεται σε μηδενικά επίπεδα έντασης και ο σκοπός του είναι απλός. Αναπαράγοντας συνεχώς έναν ήχο παρασκηνιακά, πετυχαίνει να διατηρήσει σε κατάσταση running ένα service χωρίς να τραβά την προσοχή. Αυτό του δίνει τη δυνατότητα ο επιβλαβής κώδικας να παραμένει ενεργός, ενώ την ίδια στιγμή να φαίνεται αθώος στο λειτουργικό.

Η άποψή μας στο techmaniacs.gr

Το Operation NoVoice δείχνει ότι το οικοσύστημα του Android, παρά τις συνεχείς βελτιώσεις που έχουν λάβει χώρα στο Android παραμένει ευάλωτο σε επιθέσεις και τονίζει το επίπεδο της επικινδυνότητας, πόσο μάλλον όταν αυτό μπορεί να επιβιώσει από factory reset, τη λύση που όλοι θεωρούμε ως κάτι που θα δουλέψει αν βρεθούμε σε μια τέτοια κατάσταση.

Η περίπτωση δείχνει με τον πιο χαρακτηριστικό τρόπο τη σημασία των ενημερώσεων του λειτουργικού και την υποστήριξη εκ μέρους του κατασκευαστή και αφετέρου δικαιολογεί γιατί η Google προσπαθεί να αλλάξει τον τρόπο εγκατάστασης εφαρμογών εκτός Play Store, με αναμονή 24 ωρών όπως είχαμε δει σε προηγούμενο άρθρο μας, αναφέροντας και εξηγώντας με τον πιο απλό τρόπο στο χρήστη που δεν έχει σχέση με την τεχνολογία τους κινδύνους που εγκυμονεί η ανεξέλεγκτη εγκατάσταση εφαρμογών εκτός Play Store. 

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΣΧΕΤΙΚΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΙΔΙΟ ΣΥΝΤΑΚΤΗ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

This site uses Akismet to reduce spam. Learn how your comment data is processed.