据 BleepingComputer 的一份报告显示,一场名为“NoVoice”的大规模 Android 恶意软件行动已通过 Google Play 商店中 50 多个看似合法的应用程序,感染了至少 230 万台设备。
该恶意攻击活动利用了包括相册、清理工具和游戏在内的多种应用来投放攻击载荷。报告指出,这些应用不仅提供了承诺的功能,而且不需要任何可疑的权限,这使得用户极难察觉。
网络安全公司 McAfee 的研究人员发现了这一行动。虽然目前还无法将此次攻击归因于特定的威胁组织,但研究人员指出,该恶意软件具有与已知的 Triada Android 木马相似的特征。
深度系统入侵
该恶意软件使用一套复杂的感染链来夺取设备控制权。它通过将恶意组件与合法的 Facebook SDK 类混合,将其隐藏在“com.facebook.utils”包中。攻击者还利用隐写术技术,将加密的攻击载荷隐藏在一个 PNG 图片文件中。
一旦运行,NoVoice 会尝试利用 2016 年至 2021 年间已修复的 Android 漏洞来获取 Root 权限。McAfee 的研究人员观察到,攻击者使用了 22 种不同的漏洞利用手段,包括 Mali GPU 驱动程序的缺陷以及内核中的“use-after-free”漏洞。
在成功获取 Root 权限后,该恶意软件会禁用 SELinux 的强制执行机制,并将 libandroid_runtime.so 等关键系统库替换为带有钩子(hooked)的封装器。这些封装器通过拦截系统调用,将执行流重定向到攻击代码。
该恶意软件的设计初衷是实现极高的持久性。它会安装恢复脚本,并将系统崩溃处理器替换为 Rootkit 加载程序。由于恶意软件的部分组件存储在系统分区中,因此即使进行出厂设置重置,感染也可能依然存在。
此外,系统中还会运行一个每 60 秒执行一次的看门狗守护进程,以确保 Rootkit 的完整性。如果该守护进程检测到组件遭到篡改,它会强制设备重启以重新加载 Rootkit。
为了规避检测,该恶意软件会针对模拟器、VPN 和调试器进行 15 种不同的检查。攻击者还会特意避开感染特定地区的设备,例如中国的深圳和北京。
攻击后阶段的主要目标是数据窃取,特别是针对 WhatsApp。该恶意软件会向设备上启动的每一个应用注入代码,并监控任何具有互联网访问权限的应用。
当用户打开 WhatsApp 时,恶意软件会提取加密数据库、Signal 协议密钥以及电话号码和 Google Drive 备份详情等账户标识符。这使得攻击者能够在自己的硬件上克隆受害者的 WhatsApp 会话。
