کشف بدافزار خطرناک NoVoice در اندروید؛ ۲.۳ میلیون دستگاه آلوده شده‌اند

یک بدافزار اندرویدی جدید موسوم به NoVoice با استفاده از آسیب‌پذیری‌های شناخته‌شده، در دستگاه قربانی دسترسی روت پیدا می‌کند. این بدافزار ظاهراً از طریق بیش از ۵۰ اپلیکیشن در گوگل پلی که حداقل ۲.۳ میلیون بار نصب شده‌اند، به دستگاه‌های کاربران رسیده است.

به گزارش BleepingComputer، اپ‌هایی که حاوی این بدافزار بوده‌اند شامل برنامه‌های پاکسازی دستگاه، گالری‌ها و بازی‌ها هستند. این اپ‌ها هیچ دسترسی مشکوکی درخواست نمی‌کردند و همان عملکردی را ارائه می‌دادند که ادعایش را داشتند.

برنامه‌های آلوده پس از نصب سعی می‌کردند با سوءاستفاده از آسیب‌پذیری‌های قدیمی اندروید که بین سال‌های ۲۰۱۶ تا ۲۰۲۱ پچ شده بودند، روی دستگاه دسترسی روت به‌دست آورند.

محققان شرکت امنیت سایبری مک‌آفی می‌گویند منشأ فعالیت بدافزار NoVoice به یک گروه هکری خاص نمی‌رسد. در عوض این بدافزار شباهت‌هایی به تروجان اندرویدی Triada دارد. البته محققان یادآور شده‌اند که این بدافزار دستگاه‌های کاربران مناطق خاص مثل پکن و شنژن در چین را آلوده نکرده‌اند.

در برخی موارد، دستگاه‌ها به نحوی به بدافزار آلوده می‌شدند که حتی بازگشت به تنظیمات کارخانه هم نمی‌توانست بدافزار را به‌طور کامل از روی دستگاه پاک کند.

نکته عجیب بعدی درباره این بدافزار تزریق کد آلوده به هر اپلیکیشنی است که روی دستگاه اجرا می‌شود. NoVoice دو جزء دارد: بخشی که نصب یا حذف بی‌سروصدای اپ‌ها را ممکن می‌کند، و بخشی که درون هر برنامه‌ای با دسترسی به اینترنت فعال می‌شود. مک‌آفی می‌گوید بخش دوم عمدتاً اپلیکیشن واتس‌اپ را هدف قرار داده است.

زمانی که واتس‌اپ روی یک دستگاه آلوده اجرا می‌شود، بدافزار اطلاعات حساسی را که برای تکرار نشست قربانی لازم است، استخراج می‌کند و آن را برای هکرها می‌فرستد. محققان می‌گویند اگرچه فقط یک تکه کد متمرکز بر واتس‌اپ را پیدا کرده‌اند، طراحی ماژولار NoVoice اجازه می‌دهد سایر اپ‌ها هم هدف همین حملات قرار بگیرند.