A „Play Market”ben tízre feletti alkalmazást találtak a káros NoVoice-szal, amelyet 2,3 millió felhasználó töltött le

Rövid összefoglaló

A Google Play Marketben több mint 50 alkalmazás található, amelyek *NoVoice* nevű rosszindulatú kódot tartalmaznak.

- A vírus az ismert Android (2016‑2021) sebezhetőségeket használja a root jogok megszerzésére.
- Több mint 2,3 millió letöltés történt.
- Az alkalmazások fotógalériáknak, játékoknak és „tisztító” eszközöknek látszanak – nem igényelnek gyanús engedélyeket.

A McAfee szakértői megerősítették a fenyegetést, de nem tudtak konkrét rosszindulatú személyt azonosítani; a vírus hasonlít a *Triada* troyánra.

Hogyan működik a NoVoice
| Fázis | Mi történik |
|-------|--------------|
| Infekció | A rosszindulatú kód a `com.facebook✴.utils` csomagba kerül, Facebook SDK-ként maszkálva. Az titkosított payload (`enc.apk`) egy PNG‑képben rejtőzik; ebből a `h.apk` fájl kiolvasásra kerül és memóriába töltésre kerül. Ezután minden ideiglenes fájl törlődik. |
| Fertőzés feltétele | Ha az eszköz Beijing vagy Shenzhen (Kína) területen van, illetve 15 ellenőrzést teljesít az emulatorok, hibakeresők és VPN-k ellen, a folyamat leáll. Egyébként folytatódik. |
| Információgyűjtés | A rosszindulatú kód távoli szerverhez kapcsolódik, és elküldi: magasszintű kernel verziót, Android verziót, telepített alkalmazások listáját, root státuszt. Az adatok 60 másodpercenként ismétlődnek. |
| Exploitok | A McAfee 22 exploitot talált (kernel hibák, memória szivárgás, Mali driver sebezhetőségek). Ezek root shellt nyitnak és letiltják a SELinux-t. |
| Állandó jelenlét | Root jogok megszerzése után a rosszindulatú kód lecseréli a `libandroid_runtime.so` és `libmedia_jni.so` rendszermodulokat, visszaállítási szkripteket hoz létre, a hiba kezelőjét módosítja, és egy tartalék payloadot tárol a rendszerpartíción (nem törlődik reset esetén). Minden 60 másodpercben egy „őr” démon fut, amely ellenőrzi a rootkit integritását. |
| Funkcionális modulok | 1) Rejtett alkalmazás telepítés/eltávolítás.
2) Kapcsolódás bármely internetes alkalmazáshoz és adatok ellopása (leggyakrabban WhatsApp). Amikor a messenger megnyílik, a rosszindulatú kód adatbázisokat, titkosító kulcsokat, telefonszámot és Google Drive mentéseket szerez, majd ezeket elküldi a vezérlő szerverre. Ez lehetővé teszi a WhatsApp session klónozását.
3) Moduláris felépítés: a vírus más payloadokat is használhat bármely eszközön futó alkalmazáshoz. |

Védelem
- Az 2021 májusát követően frissített eszközök már nem sebezhetőek, mivel az exploitok lezárultak.
- A Google Play Protect automatikusan eltávolítja a megtalált alkalmazásokat és blokkolja az új telepítéseket.
- Ajánlott a felhasználóknak rendszeresen telepíteni minden elérhető biztonsági frissítést.

Összegzés: *NoVoice* egy összetett rootkit, amely régi Android sebezhetőségeket használ a root jogok megszerzésére, rejtett fertőzést és adathalászatot a népszerű alkalmazásokból. A védelem csak időben történő javításokon és Play Protect használatán keresztül lehetséges.