- McAfeeが230万ダウンロード以上の50以上のGoogle Playアプリに隠されたNoVoiceマルウェアを発見
- マルウェアは古いAndroidカーネルとGPUの欠陥を悪用し、工場出荷時リセット後も継続
- WhatsAppなどのアプリにコードを注入してセッションをハイジャック。Googleはアプリを削除しましたが、感染したデバイスは依然として危険な状態です
数百万のAndroidデバイスがWhatsAppチャットをスパイするマルウェアに感染し、工場出荷時リセットでも削除できないと専門家は警告しています。
McAfeeの研究者は、Googleプレイストアでホストされている50以上のアプリで発見された新しいAndroidマルウェアバリアント「NoVoice」に関する詳細なレポートを発表しました。これらのアプリは合計230万回以上ダウンロードされています。
通常、Googleはプラットフォームへのマルウェア密輸を防ぐのが得意ですが、時々何かが通り抜けることがあります。
記事を続きを読む
WhatsAppセッションのクローン作成
今回は、意図したとおりに機能し、通常は危険な兆候である「アクセシビリティ」などの過度な許可を必要としなかった約50のアプリのグループでした。これらのアプリはユーティリティアプリ、画像ギャラリー、ゲームなど、異なるカテゴリで構築されていました。
ユーザーに広範な権限を与えるようにだますのではなく、アプリは2016年から2021年の間にパッチが適用された、ユースアフターフリーカーネルバグやMali GPUドライバーの欠陥など、ほぼ2ダースの異なる脆弱性を活用しようとしました。
つまり、攻撃者は所有者が更新または保守しない古いデバイスを対象としていたということです。
マルウェアはまず、ハードウェアの詳細、カーネルバージョン、Androidバージョンなど、感染したAndroidからデバイス情報を収集します。その後、2番目の利用戦略を含むさらなる指示を受け取ります。
2つのことが際立っています。それは永続性を確立する方法と、その後の動作方法です。とりわけ、マルウェアはシステムクラッシュハンドラーを置き換え、システムパーティションにフォールバックペイロードを保存するリカバリースクリプトをインストールします。そうすれば、ユーザーが工場出荷時リセットを行っても、マルウェアは依然として永続します。
永続性を確立した後、デバイスで起動されたすべてのアプリに悪意のあるコードを注入します。McAfeeはWhatsAppを指摘し、マルウェアが被害者のセッションを複製するために必要な機密データを取得し、攻撃者が被害者のWhatsAppアカウントを自分のデバイスで複製できるようにすると述べています。
Googleは現在、悪意のあるすべてのアプリを削除したと述べていますが、ユーザーがデバイスで同じことを行うまで、デバイスは危険な状態のままです。
もちろん、あなたもできます TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックシングを見て、WhatsAppでも私たちから定期的なアップデートを取得してください。
