Hvor mange Android-enheter ble infisert av NoVoice?

NoVoice infiserte mer enn 2,3 millioner Android-enheter etter å ha blitt distribuert gjennom Google Play, den offisielle Android-appbutikken.

Hva retter NoVoice-skadevaren seg spesifikt mot på en infisert enhet?

NoVoice retter seg primært mot WhatsApp, og får tilgang til meldingsdatabaser, mediefiler delt gjennom appen, og henter potensielt ut kontolegitimasjon.

Hvordan oppnådde NoVoice et så høyt kontrollnivå over infiserte enheter?

NoVoice utnytter upatchede sårbarheter i eldre Android-versjoner for å eskalere rettigheter og oppnå root-tilgang, noe som gir den samme kontrollnivå over en enhet som operativsystemet selv.

Bruker NoVoice tidligere ukjente sikkerhetsfeil for å gjennomføre angrepet?

Nei, NoVoice baserer seg på gamle, offentlig kjente sårbarheter som Google allerede har patchet, snarere enn nulldagsutnyttelser.

Hvorfor var så mange brukere fortsatt sårbare for et angrep basert på kjente, patchede feil?

Mange brukere forblir sårbare fordi enhetsprodusenter er trege med å rulle ut oppdateringer, eldre telefoner ikke lenger mottar oppdateringer i det hele tatt, og mange brukere ikke installerer oppdateringer umiddelbart.

NoVoice-skadevare traff 2,3 millioner Android-enheter via Google Play

En nyoppdaget Android-skadevare kalt NoVoice har infisert mer enn 2,3 millioner enheter etter å ha sneket seg gjennom Google Play, den offisielle Android-appbutikken. Skadevaren utnytter kjente sårbarheter i eldre versjoner av Android for å få root-tilgang, og retter seg deretter spesifikt mot WhatsApp for å hente ut brukerdata. Omfanget av infeksjonen reiser alvorlige spørsmål om hvordan brukere kan beskytte seg selv når selv godkjente appbutikker ikke er pålitelig trygge.

Slik kommer NoVoice seg inn på enheten din

NoVoice tok seg inn på Google Play, noe som betyr at millioner av brukere installerte den i den tro at de lastet ned en legitim applikasjon. Når den er installert, utnytter skadevaren upatchede sårbarheter i eldre Android-versjoner for å eskalere sine rettigheter og oppnå root-tilgang. Root-tilgang er betydningsfull fordi den gir en angriper samme kontrollnivå over en enhet som operativsystemet selv har. Fra den posisjonen kan skadevaren lese filer, avlytte kommunikasjon og omgå sikkerhetskontroller som ellers ville blokkert uautorisert tilgang.

Det primære målet ser ut til å være WhatsApp. Med root-tilgang kan NoVoice lese WhatsApp-meldingsdatabaser lagret på enheten, få tilgang til mediefiler delt gjennom appen, og potensielt hente ut kontolegitimasjon. For de millioner av mennesker som bruker WhatsApp til personlige samtaler, finansielle diskusjoner eller sensitiv kommunikasjon, representerer dette en direkte trussel mot personvernet deres.

Hvorfor gamle Android-sårbarheter fortsatt er relevante

Et av de mer bekymringsfulle aspektene ved denne kampanjen er at NoVoice baserer seg på gamle sårbarheter, ikke nulldagsutnyttelser. Dette er sikkerhetsfeil som har vært offentlig kjent og patchet av Google, noen ganger i årevis. Skadevaren fungerer fordi en betydelig andel av Android-brukere fortsatt kjører utdatert programvare.

Dette skjer av flere grunner. Noen enhetsprodusenter er trege med å rulle ut sikkerhetsoppdateringer. Eldre telefoner mottar kanskje ikke lenger oppdateringer i det hele tatt. Og mange brukere installerer rett og slett ikke oppdateringer umiddelbart, enten av vane eller fordi oppdateringer ikke presenteres tydelig på enhetene deres. Resultatet er en vedvarende angrepsflate som skadevareforfattere fortsetter å utnytte med suksess, selv når de underliggende sårbarhetene er godt forstått.

Det faktum at NoVoice nådde 2,3 millioner nedlastinger før det ble oppdaget, understreker også begrensningene ved automatisert gjennomgang av appbutikker. Google Play Protect, Googles innebygde skadevareskanningssystem, fanget ikke dette opp i tide til å forhindre utbredt infeksjon.

Hva dette betyr for deg

Hvis du bruker en Android-enhet, særlig en som ikke har blitt oppdatert nylig, er denne hendelsen en nyttig påminnelse om å gjennomgå sikkerhetssituasjonen din. Her er hva NoVoice-situasjonen demonstrerer:

Appbutikker er ikke idiotsikre. Offisielle distribusjonskanaler reduserer risikoen, men eliminerer den ikke. Skadevare når faktisk brukere gjennom legitime utsalgssteder.
Root-tilgang endrer alt. Når skadevare har root på enheten din, blir mange standardbeskyttelser ineffektive. Trusselen er ikke lenger bare en app som overskrider tillatelsene sine; det er et stykke programvare med nær total kontroll.
Meldingsapper er høyverdige mål. WhatsApp lagrer en betydelig mengde sensitiv personlig data lokalt, noe som gjør den til et attraktivt mål for enhver skadevare som kan få tilgang til filsystemet.
Upatchede enheter bærer på sammensatt risiko. Hver sårbarhet som forblir upatchet er en åpen dør som angripere kan gå gjennom gjentatte ganger, slik NoVoice demonstrerer.

Brukere som nylig har installert ukjente apper, eller som ikke har oppdatert Android-programvaren sin på en stund, bør kjøre en sikkerhetsskanning og gjennomgå de installerte applikasjonene sine. Hvis du bruker WhatsApp til sensitiv kommunikasjon, bør du være klar over at lokale data lagret på en kompromittert enhet kan ha blitt tilgang til.

Praktiske steg for å redusere eksponeringen din

NoVoice-skadevare-kampanjen er en påminnelse om at mobilsikkerhet krever løpende oppmerksomhet, ikke én enkelt engangshandling. Noen få praktiske steg kan redusere eksponeringen din på en meningsfull måte:

Hold Android-programvaren din oppdatert. Sikkerhetsoppdateringer adresserer nettopp de typer sårbarheter som NoVoice utnytter. Aktiver automatiske oppdateringer hvis enheten din støtter det, og sjekk jevnlig for oppdateringer enheten din kanskje ikke har installert automatisk.

Gjennomgå apptillatelser regelmessig. Gå inn i enhetsinnstillingene og kontroller hvilke apper som har tilgang til sensitive tillatelser som lagring, kontakter og mikrofon. Tilbakekall tilgang for alt som ikke trenger det.

Vær selektiv med hva du installerer. Selv på Google Play bør du se på antall nedlastinger, anmeldelser, utviklerens omdømme og hvor lenge en app har vært tilgjengelig før du installerer den. Nylig publiserte apper med begrenset historikk utgjør høyere risiko.

Bruk kryptert meldingsutveksling der det er mulig. Selv om kryptering ikke beskytter data som allerede er lagret på en kompromittert enhet, begrenser ende-til-ende-krypterte meldingsapper hva som kan fanges opp under overføring.

Vurder en mobil sikkerhetsapp. Flere anerkjente sikkerhetsleverandører tilbyr Android-apper som skanner etter skadevare og flaggger mistenkelig atferd, noe som gir et ekstra lag med deteksjon utover det som er innebygd i operativsystemet.

De 2,3 millioner infeksjonene knyttet til NoVoice er en konkret illustrasjon på hva som skjer når mobilsikkerhet behandles som valgfritt. Android-brukere som kjører utdatert programvare, eller som installerer apper uten mye granskning, forblir sårbare for kampanjer akkurat som denne. Å holde programvare oppdatert og nærme seg appinstallasjoner med en grad av skepsis er to av de mest effektive forsvarene tilgjengelig for vanlige brukere.