Вредоносная программа NoVoice заразила 2,3 млн Android-устройств через Google Play

Вредоносная программа NoVoice заразила 2,3 млн Android-устройств через Google Play

Недавно обнаруженное Android-вредоносное ПО под названием NoVoice заразило более 2,3 миллиона устройств, проникнув через Google Play — официальный магазин приложений для Android. Вредоносная программа эксплуатирует известные уязвимости в устаревших версиях Android для получения root-доступа, после чего целенаправленно атакует WhatsApp с целью сбора пользовательских данных. Масштаб заражения ставит серьёзные вопросы о том, как пользователи могут защитить себя, когда даже проверенные магазины приложений не являются надёжно безопасными.

Как NoVoice попадает на ваше устройство

NoVoice проникла в Google Play, а значит, миллионы пользователей установили её, полагая, что скачивают легитимное приложение. После установки вредоносная программа эксплуатирует неисправленные уязвимости в устаревших сборках Android для повышения привилегий и получения root-доступа. Root-доступ имеет принципиальное значение, поскольку даёт злоумышленнику тот же уровень контроля над устройством, что и у самой операционной системы. Из этой позиции вредоносная программа может читать файлы, перехватывать коммуникации и обходить средства защиты, которые в противном случае блокировали бы несанкционированный доступ.

Основной мишенью является WhatsApp. Имея root-доступ, NoVoice может читать базы данных сообщений WhatsApp, хранящиеся на устройстве, получать доступ к медиафайлам, переданным через приложение, и потенциально извлекать учётные данные аккаунта. Для миллионов людей, использующих WhatsApp для личных переписок, финансовых обсуждений или конфиденциальных коммуникаций, это представляет прямую угрозу их приватности.

Почему старые уязвимости Android по-прежнему важны

Один из наиболее тревожных аспектов этой кампании состоит в том, что NoVoice опирается на старые уязвимости, а не на эксплойты нулевого дня. Речь идёт об изъянах безопасности, которые уже давно публично известны и исправлены Google — порой несколько лет назад. Вредоносная программа работает потому, что значительная часть пользователей Android по-прежнему использует устаревшее программное обеспечение.

Это происходит по ряду причин. Одни производители устройств медленно выпускают обновления безопасности. Старые телефоны могут вовсе не получать обновлений. И многие пользователи попросту не устанавливают обновления своевременно — из привычки или потому, что уведомления об обновлениях не отображаются на их устройствах должным образом. В результате сохраняется устойчивая поверхность атаки, которую авторы вредоносных программ продолжают успешно эксплуатировать, даже когда лежащие в основе уязвимости хорошо известны.

Тот факт, что NoVoice набрала 2,3 миллиона загрузок до обнаружения, также подчёркивает ограниченность автоматизированной проверки в магазине приложений. Google Play Protect — встроенная система сканирования на вредоносное ПО от Google — не успела своевременно выявить угрозу и предотвратить массовое заражение.

Что это значит для вас

Если вы используете Android-устройство, особенно давно не обновлявшееся, этот инцидент — весомый повод пересмотреть своё отношение к безопасности. Вот что демонстрирует ситуация с NoVoice:

• Магазины приложений не являются надёжной защитой. Официальные каналы распространения снижают риск, но не устраняют его полностью. Вредоносное ПО действительно достигает пользователей через легитимные площадки.
• Root-доступ меняет всё. Как только вредоносная программа получает root на вашем устройстве, многие стандартные средства защиты становятся неэффективными. Угроза уже не сводится к приложению, превышающему свои разрешения; речь идёт о программе с практически полным контролем над устройством.
• Мессенджеры — высокоценные цели. WhatsApp хранит значительный объём конфиденциальных персональных данных локально, что делает его привлекательной мишенью для любого вредоносного ПО, способного получить доступ к файловой системе.
• Необновлённые устройства несут накопленный риск. Каждая неисправленная уязвимость — это открытая дверь, через которую злоумышленники могут проходить снова и снова, как наглядно демонстрирует NoVoice.

Пользователи, недавно установившие незнакомые приложения или долгое время не обновлявшие программное обеспечение Android, должны запустить проверку безопасности и просмотреть список установленных приложений. Если вы используете WhatsApp для конфиденциальных переписок, имейте в виду, что локальные данные на скомпрометированном устройстве могли быть получены злоумышленниками.

Практические шаги по снижению рисков

Кампания вредоносной программы NoVoice напоминает о том, что мобильная безопасность требует постоянного внимания, а не единовременных действий. Несколько практических шагов могут существенно снизить вашу уязвимость:

Регулярно обновляйте программное обеспечение Android. Патчи безопасности устраняют именно те уязвимости, которые эксплуатирует NoVoice. Включите автоматические обновления, если ваше устройство их поддерживает, и периодически проверяйте наличие обновлений, которые могли не установиться автоматически.

Регулярно проверяйте разрешения приложений. Зайдите в настройки устройства и проверьте, каким приложениям предоставлен доступ к важным разрешениям — хранилищу, контактам, микрофону. Отзовите разрешения у тех приложений, которым они не нужны.

Будьте избирательны в установке приложений. Даже в Google Play обращайте внимание на количество загрузок, отзывы, репутацию разработчика и время присутствия приложения на рынке, прежде чем устанавливать его. Недавно опубликованные приложения с ограниченной историей несут повышенный риск.

По возможности используйте зашифрованные мессенджеры. Хотя шифрование не защищает данные, уже хранящиеся на скомпрометированном устройстве, мессенджеры со сквозным шифрованием ограничивают возможность перехвата сообщений в процессе передачи.

Рассмотрите возможность использования мобильного приложения для защиты. Ряд авторитетных поставщиков решений в области безопасности предлагают Android-приложения, сканирующие устройство на наличие вредоносного ПО и сигнализирующие о подозрительном поведении, обеспечивая дополнительный уровень обнаружения угроз помимо встроенных средств операционной системы.

2,3 миллиона заражений, связанных с NoVoice, — наглядная иллюстрация того, что происходит, когда мобильной безопасностью пренебрегают. Пользователи Android, работающие на устаревшем программном обеспечении или устанавливающие приложения без должной осмотрительности, остаются уязвимы именно для таких кампаний. Поддержание актуальности программного обеспечения и скептический подход к установке приложений — два наиболее эффективных инструмента защиты, доступных рядовым пользователям.