Malver NoVoice zarazio 2,3 milijuna Android uređaja putem Google Playa

Malver NoVoice zarazio 2,3 milijuna Android uređaja putem Google Playa

Novootkriveni Android malver nazvan NoVoice zarazio je više od 2,3 milijuna uređaja nakon što je uspješno prošao kroz Google Play, službenu trgovinu Android aplikacija. Malver iskorištava poznate ranjivosti u starijim verzijama Androida kako bi stekao root pristup, a zatim ciljano napada WhatsApp radi prikupljanja korisničkih podataka. Razmjeri zaraze postavljaju ozbiljna pitanja o tome kako se korisnici mogu zaštititi kada ni provjerene trgovine aplikacija nisu pouzdano sigurne.

Kako NoVoice dospijeva na vaš uređaj

NoVoice je dospio na Google Play, što znači da su ga milijuni korisnika instalirali vjerujući da preuzimaju legitimnu aplikaciju. Nakon instalacije, malver iskorištava nepopravljene ranjivosti u starijim verzijama Androida kako bi eskalirao svoje privilegije i stekao root pristup. Root pristup je iznimno značajan jer napadaču daje isti stupanj kontrole nad uređajem kakav ima sam operativni sustav. S te pozicije malver može čitati datoteke, presretati komunikacije i zaobilaziti sigurnosne kontrole koje bi inače blokirale neovlašteni pristup.

Primarna meta čini se da je WhatsApp. S root pristupom, NoVoice može čitati WhatsApp baze podataka poruka pohranjene na uređaju, pristupati medijskim datotekama dijeljenim putem aplikacije i potencijalno izvlačiti vjerodajnice računa. Za milijune ljudi koji koriste WhatsApp za osobne razgovore, financijske rasprave ili osjetljive komunikacije, ovo predstavlja izravnu prijetnju njihovoj privatnosti.

Zašto stare Android ranjivosti i dalje imaju značaj

Jedan od zabrinjavajućih aspekata ove kampanje jest da NoVoice oslanja na stare ranjivosti, a ne na zero-day exploite. Riječ je o sigurnosnim propustima koji su javno poznati i koje je Google već zakrpao, ponekad i godinama unazad. Malver funkcionira jer značajan dio Android korisnika i dalje koristi zastarjeli softver.

Do toga dolazi iz nekoliko razloga. Neki proizvođači uređaja sporo isporučuju sigurnosna ažuriranja. Stariji telefoni možda više uopće ne primaju ažuriranja. Uz to, mnogi korisnici jednostavno ne instaliraju ažuriranja pravovremeno, bilo zbog navike ili zato što ažuriranja nisu jasno istaknuta na njihovim uređajima. Rezultat je trajno prisutna površina napada koju autori malvera nastavljaju uspješno iskorištavati, čak i kada su temeljne ranjivosti dobro poznate.

Činjenica da je NoVoice dostigao 2,3 milijuna preuzimanja prije nego što je otkriven također naglašava ograničenja automatiziranog pregleda u trgovinama aplikacija. Google Play Protect, Googleov ugrađeni sustav za skeniranje malvera, nije to pravovremeno otkrio kako bi spriječio masovnu zarazu.

Što to znači za vas

Ako koristite Android uređaj, posebno onaj koji nije nedavno ažuriran, ovaj incident je koristan podsjetnik da preispitate svoje sigurnosne mjere. Evo što situacija s NoVoiceom pokazuje:

• Trgovine aplikacija nisu nepogrešive. Službeni distribucijski kanali smanjuju rizik, ali ga ne eliminiraju. Malver ipak dospijeva do korisnika putem legitimnih trgovina.
• Root pristup mijenja sve. Kad malver stekne root na vašem uređaju, mnoge standardne zaštite postaju neučinkovite. Prijetnja više nije samo aplikacija koja prekoračuje svoje dozvole; radi se o softveru koji ima gotovo potpunu kontrolu.
• Aplikacije za razmjenu poruka su visoko vrijedne mete. WhatsApp lokalno pohranjuje znatnu količinu osjetljivih osobnih podataka, što ga čini privlačnom metom za svaki malver koji može pristupiti datotečnom sustavu.
• Nekrpani uređaji nose kumulativni rizik. Svaka nepopravljana ranjivost je otvorena vrata kroz koja napadači mogu prolaziti iznova i iznova, kao što NoVoice pokazuje.

Korisnici koji su nedavno instalirali nepoznate aplikacije ili koji dulje vrijeme nisu ažurirali Android softver trebali bi pokrenuti sigurnosno skeniranje i pregledati instalirane aplikacije. Ako koristite WhatsApp za osjetljive komunikacije, imajte na umu da su lokalni podaci pohranjeni na kompromitiranom uređaju mogli biti pristupljeni.

Praktični koraci za smanjenje izloženosti

Kampanja malvera NoVoice podsjetnik je da mobilna sigurnost zahtijeva stalnu pažnju, a ne jednokratnu akciju. Nekoliko praktičnih koraka može smisleno smanjiti vašu izloženost:

Redovito ažurirajte Android softver. Sigurnosne zakrpe rješavaju točno takve vrste ranjivosti koje NoVoice iskorištava. Omogućite automatska ažuriranja ako ih vaš uređaj podržava i povremeno provjeravajte postoje li ažuriranja koja uređaj možda nije automatski instalirao.

Redovito pregledavajte dozvole aplikacija. Pristupite postavkama uređaja i provjerite koje aplikacije imaju pristup osjetljivim dozvolama poput pohrane, kontakata i mikrofona. Opozvajte pristup svemu što ga ne treba.

Budite selektivni u pogledu onoga što instalirate. Čak i na Google Playu, pogledajte broj preuzimanja, recenzije, reputaciju programera i koliko dugo je aplikacija dostupna prije nego što je instalirate. Novoobjavljene aplikacije s ograničenom poviješću nose veći rizik.

Koristite šifrirane poruke gdje je to moguće. Iako šifriranje ne štiti podatke koji su već pohranjeni na kompromitiranom uređaju, aplikacije za razmjenu poruka s end-to-end enkripcijom ograničavaju ono što se može presresti u prijenosu.

Razmotrite korištenje mobilne sigurnosne aplikacije. Nekoliko uglednih sigurnosnih tvrtki nudi Android aplikacije koje skeniraju malver i upozoravaju na sumnjivo ponašanje, pružajući dodatni sloj detekcije izvan onoga što je ugrađeno u operativni sustav.

2,3 milijuna zaraza vezanih za NoVoice konkretan je primjer onoga što se događa kada se prema mobilnoj sigurnosti postupa kao prema nečemu neobaveznom. Android korisnici koji koriste zastarjeli softver ili koji instaliraju aplikacije bez puno opreza ostaju ranjivi na kampanje točno ovakve vrste. Održavanje softvera ažuriranim i pristupanje instalacijama aplikacija s određenom dozom skepticizma dvije su od najučinkovitijih obrana dostupnih običnim korisnicima.