یک بدافزار اندرویدی جدید موسوم به NoVoice با استفاده از آسیبپذیریهای شناختهشده، در دستگاه قربانی دسترسی روت پیدا میکند. این بدافزار ظاهراً از طریق بیش از ۵۰ اپلیکیشن در گوگل پلی که حداقل ۲.۳ میلیون بار نصب شدهاند، به دستگاههای کاربران رسیده است.
به گزارش BleepingComputer، اپهایی که حاوی این بدافزار بودهاند شامل برنامههای پاکسازی دستگاه، گالریها و بازیها هستند. این اپها هیچ دسترسی مشکوکی درخواست نمیکردند و همان عملکردی را ارائه میدادند که ادعایش را داشتند.
برنامههای آلوده پس از نصب سعی میکردند با سوءاستفاده از آسیبپذیریهای قدیمی اندروید که بین سالهای ۲۰۱۶ تا ۲۰۲۱ پچ شده بودند، روی دستگاه دسترسی روت بهدست آورند.
محققان شرکت امنیت سایبری مکآفی میگویند منشأ فعالیت بدافزار NoVoice به یک گروه هکری خاص نمیرسد. در عوض این بدافزار شباهتهایی به تروجان اندرویدی Triada دارد. البته محققان یادآور شدهاند که این بدافزار دستگاههای کاربران مناطق خاص مثل پکن و شنژن در چین را آلوده نکردهاند.
در برخی موارد، دستگاهها به نحوی به بدافزار آلوده میشدند که حتی بازگشت به تنظیمات کارخانه هم نمیتوانست بدافزار را بهطور کامل از روی دستگاه پاک کند.
نکته عجیب بعدی درباره این بدافزار تزریق کد آلوده به هر اپلیکیشنی است که روی دستگاه اجرا میشود. NoVoice دو جزء دارد: بخشی که نصب یا حذف بیسروصدای اپها را ممکن میکند، و بخشی که درون هر برنامهای با دسترسی به اینترنت فعال میشود. مکآفی میگوید بخش دوم عمدتاً اپلیکیشن واتساپ را هدف قرار داده است.
زمانی که واتساپ روی یک دستگاه آلوده اجرا میشود، بدافزار اطلاعات حساسی را که برای تکرار نشست قربانی لازم است، استخراج میکند و آن را برای هکرها میفرستد. محققان میگویند اگرچه فقط یک تکه کد متمرکز بر واتساپ را پیدا کردهاند، طراحی ماژولار NoVoice اجازه میدهد سایر اپها هم هدف همین حملات قرار بگیرند.
