Natychmiast wywal to z telefonu. Kradnie wszystko, reset nie ratuje
Sklep Google Play powszechnie uważany jest za bezpieczne źródło aplikacji, jednak najnowsze odkrycia pokazują, że system ten nie jest nieomylny. Nowe złośliwe oprogramowanie „NoVoice” zainstalowano aż 2,3 mln razy.
Skandal u Google'a, przepuścił oprogramowanie do przejmowania kontroli nad telefonem
Eksperci do spraw cyberbezpieczeństwa z firmy McAfee wykryli nowe, wyjątkowo złośliwe oprogramowanie o nazwie „NoVoice”. Ukrywało się ono w ponad 50 aplikacjach dostępnych do pobrania w oficjalnym sklepie Google, a do roznoszenia kodu były wykorzystywane m.in. obrazki PNG.
Skala problemu jest ogromna, ponieważ zainfekowane aplikacje zostały pobrane co najmniej 2,3 miliona razy. Twórcy wirusa sprytnie zakamuflowali kod NoVoice w pozornie użytecznych i niegroźnych programach, takich jak narzędzia do optymalizacji i czyszczenia systemu, różnego rodzaju galerie zdjęć czy gry mobilne.
Ekstremalnie duże niebezpieczeństwo
Mechanizm działania tego malware'u jest bardzo zaawansowany. Po uruchomieniu zainfekowanej aplikacji NoVoice wykorzystuje starsze luki w zabezpieczeniach systemu Android, by uzyskać głęboki dostęp do uprawnień roota (administratora). Kiedy to nastąpi, wirus może swobodnie kraść prywatne dane z innych programów, a także w tle instalować i usuwać inne aplikacje bez wiedzy użytkownika.
Co najgorsze, pozbycie się intruza jest niezwykle trudne. Złośliwy kod instaluje specjalne skrypty odzyskiwania na partycji systemowej. W rezultacie nawet pełne przywrócenie smartfona do ustawień fabrycznych (tzw. hard reset) nie gwarantuje jego całkowitego usunięcia.
Jest też dobra wiadomość
Zagrożenie dotyczy głównie nieaktualizowanych urządzeń. Firma Google oficjalnie potwierdziła, że smartfony i tablety, które otrzymały jakiekolwiek aktualizacje bezpieczeństwa po maju 2021 roku, są odporne na ten atak. Ponadto wbudowana usługa Google Play Protect zaczęła już automatycznie usuwać złośliwe aplikacje z telefonów użytkowników oraz blokuje możliwość ich ponownej instalacji.
Jako dodatkowa warstwa ochrony, usługa Google Play Protect automatycznie usuwa te aplikacje i blokuje ich nowe instalacje. Użytkownicy powinni zawsze instalować najnowsze aktualizacje zabezpieczeń dostępne dla swojego urządzenia.
Optymistycznie wygląda również mapa instalacji szkodliwego oprogramowania opublikowana przez McAfee - wygląda na to, że w Polsce zasięg był marginalny. To prawdopodobnie efekt relatywnie nowych urządzeń Polaków. Najwięcej wirusa jest tam, gdzie w użyciu są stare telefony, a więc w Afryce czy Indiach, z drugiej strony Niemcy czy Wielka Brytania są ujęte.
Co robić, jeśli masz podejrzenie wirusa NoVoice?
Wskaźniki infekcji można odnaleźć w obszernym artykule McAfee, dostępnym pod tym adresem. Jeśli nie wchodzi w grę zaktualizowanie naszego sprzętu czy też korzystanie z aktualnego Google Play Protect, można posiłkować się oprogramowaniem antywirusowym, chociażby tym oferowanym przez McAfee, autora odkrycia zagrożenia. Zaawansowani użytkownicy mogą też pokusić się o ręczne flashowanie telefonu, z użyciem nowego obrazu systemu, skoro NoVoice potrafi nadpisywać pliki tak głęboko, że nie pomaga nawet twardy reset.
Jedno jest pewne, przepuszczenie zagrożenia na tak wielką skalę pod znakiem zapytania stawia zaufanie do Google Play. Być może jednak będzie trzeba instalować w telefonie dodatkowe narzędzia poprawiające nasze bezpieczeństwo.
