McAfeeのサイバーセキュリティ研究者たちは、「Operation NoVoice」と呼ばれる大規模で極めて危険なAndroidマルウェアキャンペーンを発見しました。
この高度なルートキットは、Google PlayストアのSMに見える50以上のアプリケーション内に密かに隠されており、検出される前に230万回以上のダウンロードを集めていました。
電話クリーナー、カジュアルゲーム、写真ギャラリーアプリなどの単純な日常的なユーティリティに変装し、これらの悪意あるプログラムは見た目も振る舞いも、疑いを持たないユーザーには完全に正常に見えます。
攻撃は、ユーザーが感染したアプリをダウンロードして開く瞬間に始まります。感染をトリガーするために、ユーザーの操作や特別な権限は必要ありません。
NoVoiceマルウェアは非常にステルシーで、その初期の悪意あるコードを完全に通常のイメージファイルの内部に隠しています。隠されたコードは画像データの最後に配置されているため、標準的なセキュリティスキャナーはルーチンチェック中にそれを見落とすことが多いです。
NoVoiceを特に危険にするのは、コアシステムファイルを書き直す能力です。重要なAndroidソフトウェアライブラリを変更された悪意あるバージョンに置き換えます。
さらに、マルウェアがまだ実行されていることを確認するために、60秒ごとにシステムを積極的に監視する永続的な「ウォッチドッグ」プログラムをインストールします。
システムまたはユーザーがそれを削除しようとした場合、ウォッチドッグは悪意あるファイルを再インストールします。ルートキットはデバイスのシステムパーティションに深く埋め込まれているため、標準的な工場出荷状態へのリセットではそれを削除できません。
NoVoiceマルウェアを削除する唯一の方法は、デバイスを完全にワイプし、クリーンなファームウェアで再フラッシュすることです。
NoVoiceがAndroidスマートフォンに揺るがぬ支配を確立すると、デバイスの再起動を待ちます。その時点から、ユーザーが開くあらゆるアプリに自動的に攻撃者の隠されたコードが注入されます。
マルウェア開発者は柔軟なプラグインシステムを設計し、いつでも遠隔からデバイスに新しい指示を送信し、電話上のほぼすべてのアプリケーションをターゲットにすることができます。
深い調査の中で、McAfee研究者たちはWhatsAppを攻撃するために明確に設計された特定のペイロードを捕捉しました。感染したユーザーがWhatsAppメッセンジャーを開くと、注入されたコードはアプリの暗号化されたデータベースを静かにコピーします。
重要なセキュリティキー、ユーザーの電話番号、機密のセッションデータを盗みます。この盗まれた情報をリモートサーバーに送信することにより、攻撃者は被害者のWhatsAppアカウントを別のデバイスに完全に複製することができます。
このような恐ろしいレベルのアクセスにより、ハッカーはプライベートメッセージを読み、被害者になりすまし、家族や友人に対してさらなる詐欺を仕掛けることができます。
しかし、Operation NoVoiceの真の危険は、その高度なインフラストラクチャにあります。攻撃者は、何百万台の電話に任意のペイロードをプッシュできる自動化されたネットワークを構築しました。
以前に古いデバイスでこれらのアプリをダウンロードしたユーザーは、電話が専門的に再フラッシュされるまで重大な危険にさらされたままです。
翻訳元: https://cyberpress.org/novoice-threat-hits-millions/