Зловредният софтуер NoVoice засегна 2,3 милиона Android устройства чрез Google Play

Зловредният софтуер NoVoice засегна 2,3 милиона Android устройства чрез Google Play

Новооткрит Android зловреден софтуер, наречен NoVoice, е заразил повече от 2,3 милиона устройства, след като е проникнал в Google Play — официалният магазин за Android приложения. Зловредният софтуер използва известни уязвимости в по-стари версии на Android, за да получи root достъп, след което се насочва конкретно към WhatsApp с цел събиране на потребителски данни. Мащабът на заразяването поставя сериозни въпроси за това как потребителите могат да се защитят, когато дори проверените магазини за приложения не са надеждно безопасни.

Как NoVoice попада на вашето устройство

NoVoice успя да се промъкне в Google Play, което означава, че милиони потребители са го инсталирали с убеждението, че изтеглят легитимно приложение. Веднъж инсталиран, зловредният софтуер използва незакърпени уязвимости в по-стари версии на Android, за да ескалира привилегиите си и да получи root достъп. Root достъпът е от съществено значение, тъй като дава на атакуващия същото ниво на контрол върху устройството, каквото има самата операционна система. От тази позиция зловредният софтуер може да чете файлове, да прихваща комуникации и да заобикаля контролите за сигурност, които иначе биха блокирали неоторизиран достъп.

Основната цел изглежда е WhatsApp. С root достъп, NoVoice може да чете базите данни с WhatsApp съобщения, съхранени на устройството, да осъществява достъп до медийните файлове, споделени чрез приложението, и потенциално да извлича идентификационни данни за акаунта. За милионите хора, които използват WhatsApp за лични разговори, финансови обсъждания или поверителни комуникации, това представлява пряка заплаха за тяхната поверителност.

Защо старите уязвимости в Android все още имат значение

Един от по-тревожните аспекти на тази кампания е, че NoVoice разчита на стари уязвимости, а не на zero-day експлойти. Това са пропуски в сигурността, които са публично известни и са закърпени от Google — понякога от години. Зловредният софтуер работи, защото значителна част от потребителите на Android все още използват остарял софтуер.

Това се случва по няколко причини. Някои производители на устройства бавно пускат актуализации за сигурност. По-старите телефони може изобщо да не получават повече актуализации. И много потребители просто не инсталират актуализациите навреме — или по навик, или защото актуализациите не са представени по ясен начин на устройствата им. Резултатът е постоянна повърхност за атаки, която авторите на зловреден софтуер продължават успешно да използват, дори когато основните уязвимости са добре известни.

Фактът, че NoVoice е достигнал 2,3 милиона изтегляния преди да бъде открит, подчертава и ограниченията на автоматизираната проверка в магазина за приложения. Google Play Protect — вградената система за сканиране на зловреден софтуер на Google — не успя да го открие навреме, за да предотврати масовото заразяване.

Какво означава това за вас

Ако използвате Android устройство, особено такова, което не е актуализирано напоследък, този инцидент е добър повод да прегледате своята позиция по отношение на сигурността. Ето какво демонстрира ситуацията с NoVoice:

• Магазините за приложения не са безгрешни. Официалните канали за разпространение намаляват риска, но не го премахват. Зловреден софтуер действително достига до потребителите чрез легитимни платформи.
• Root достъпът променя всичко. Веднъж щом зловредният софтуер получи root на вашето устройство, много стандартни защити стават неефективни. Заплахата вече не е просто приложение, което превишава разрешенията си — това е софтуер с почти пълен контрол.
• Приложенията за съобщения са ценни цели. WhatsApp съхранява значително количество поверителни лични данни локално, което го прави привлекателна цел за всеки зловреден софтуер, способен да осъществи достъп до файловата система.
• Незакърпените устройства носят нарастващ риск. Всяка незакърпена уязвимост е отворена врата, през която атакуващите могат да минават многократно, както демонстрира NoVoice.

Потребителите, които наскоро са инсталирали непознати приложения или не са актуализирали своя Android софтуер от известно време, трябва да извършат сканиране за сигурност и да прегледат инсталираните си приложения. Ако използвате WhatsApp за поверителни комуникации, имайте предвид, че локалните данни, съхранявани на компрометирано устройство, е възможно да са били достъпени.

Практически стъпки за намаляване на излагането ви на риск

Кампанията със зловредния софтуер NoVoice е напомняне, че мобилната сигурност изисква постоянно внимание, а не еднократно действие. Няколко практически стъпки могат значително да намалят излагането ви на риск:

Поддържайте Android софтуера си актуализиран. Пачовете за сигурност адресират именно вида уязвимости, които NoVoice използва. Активирайте автоматичните актуализации, ако устройството ви го поддържа, и периодично проверявайте за актуализации, които устройството ви може да не е инсталирало автоматично.

Редовно преглеждайте разрешенията на приложенията. Влезте в настройките на устройството си и проверете кои приложения имат достъп до поверителни разрешения като съхранение, контакти и микрофон. Отнемайте достъп на всичко, което не се нуждае от него.

Бъдете избирателни по отношение на това, което инсталирате. Дори в Google Play обръщайте внимание на броя изтегляния, отзивите, репутацията на разработчика и колко дълго е достъпно едно приложение, преди да го инсталирате. Наскоро публикуваните приложения с ограничена история носят по-висок риск.

Използвайте криптирани съобщения, когато е възможно. Въпреки че криптирането не защитава данни, вече съхранявани на компрометирано устройство, приложенията за съобщения с end-to-end криптиране ограничават това, което може да бъде прихванато при пренос.

Помислете за приложение за мобилна сигурност. Няколко реномирани доставчици на решения за сигурност предлагат Android приложения, които сканират за зловреден софтуер и сигнализират за подозрително поведение, осигурявайки допълнителен слой на защита извън вградения в операционната система.

2,3 милиона заразявания, свързани с NoVoice, са конкретна илюстрация на това, което се случва, когато мобилната сигурност се третира като незадължителна. Потребителите на Android, използващи остарял софтуер или инсталиращи приложения без особено внимание, остават уязвими именно към такива кампании. Поддържането на актуален софтуер и подходът към инсталирането на приложения с известна степен на скептицизъм са две от най-ефективните защити, достъпни за обикновените потребители.