Badacze z firmy McAfee odkryli groźną kampanię złośliwego oprogramowania nazwaną NoVoice, która przez pewien czas działała w ukryciu na oficjalnym sklepie Google Play. Zainfekowane aplikacje — łącznie ponad 50 — zostały pobrane co najmniej 2,3 miliona razy zanim Google zdążył je usunąć. To jeden z poważniejszych incydentów bezpieczeństwa na platformie Android w ostatnich miesiącach.
Co to jest rootkit i dlaczego jest tak niebezpieczny?
NoVoice to nie zwykły wirus — to rootkit. Oznacza to, że po zainstalowaniu na urządzeniu dąży do uzyskania uprawnień administratora (root) i zagnieżdżenia się głęboko w systemie operacyjnym. Dzięki temu potrafi ukrywać swoją obecność przed standardowymi narzędziami bezpieczeństwa, modyfikować zachowanie systemu i działać bez wiedzy użytkownika.
Szczególnie alarmujące jest to, że NoVoice przeżywa przywrócenie ustawień fabrycznych. Rootkit instaluje skrypty odtwarzające i przechowuje kopie zapasowe złośliwego kodu na partycjach systemowych. Jedynym skutecznym sposobem usunięcia zagrożenia jest pełne wgranie czystego oprogramowania (reflash firmware) — operacja wymagająca wiedzy technicznej, niedostępna dla przeciętnego użytkownika.
Jak działał i co kradł?
Złośliwy ładunek był sprytnie ukryty — zaszyfrowany i osadzony wewnątrz plików PNG przy użyciu steganografii (techniki ukrywania danych w obrazach). Aplikacje na pierwszy rzut oka działały normalnie: były to galerie zdjęć, narzędzia do czyszczenia systemu i gry.
Po aktywacji malware próbował zdobyć uprawnienia root, wykorzystując aż 22 znane podatności w Androidzie — luki w jądrze systemu i sterowniku GPU Mali, które zostały załatane w latach 2016–2021. Następnie skupiał się na jednym celu: kradzy danych WhatsApp.
Pobierał bazy danych szyfrowania, klucze protokołu Signal oraz identyfikatory konta (numer telefonu, dane kopii zapasowej Google Drive). Pozwalało to atakującym sklonować sesję WhatsApp ofiary na swoim urządzeniu i czytać jej wiadomości.
Kogo dotyczy i jak sprawdzić, czy jesteś bezpieczny?
Dobra wiadomość: urządzenia z aktualizacjami bezpieczeństwa z maja 2021 roku lub nowszymi są chronione, ponieważ wszystkie wykorzystywane przez NoVoice podatności zostały wówczas załatane. Google Play Protect automatycznie usunął zainfekowane aplikacje z urządzeń, na których jest aktywny.
Powinieneś jednak zachować czujność, jeśli:
- Twoje urządzenie działa na Androidzie bez regularnych aktualizacji bezpieczeństwa
- Pobierałeś w ostatnich miesiącach aplikacje z kategorii “czyszczenie telefonu”, galerie zdjęć lub gry od nieznanych wydawców
- Twoje urządzenie nie jest już wspierane przez producenta
Co zrobić, żeby być bezpiecznym?
Przede wszystkim aktualizuj system i aplikacje — większość ataków wykorzystuje luki, na które łatki istnieją od dawna. Pobieraj aplikacje wyłącznie od znanych i sprawdzonych wydawców, sprawdzaj liczbę recenzji i datę ostatniej aktualizacji aplikacji przed instalacją.
Jeśli Twój telefon ma kilka lat i producent przestał wydawać aktualizacje bezpieczeństwa, poważnie rozważ wymianę urządzenia. Stary sprzęt bez wsparcia to otwarta brama dla tego typu ataków.
Kampania NoVoice jest kolejnym przypomnieniem, że nawet oficjalny sklep z aplikacjami nie gwarantuje bezpieczeństwa — zdrowy rozsądek i regularne aktualizacje to podstawa ochrony.