محققان امنیت سایبری از شناسایی یک بدافزار جدید اندرویدی با نام NoVoice خبر دادهاند که توانسته از طریق دهها اپلیکیشن مختلف، میلیونها دستگاه را آلوده کند. بررسیها نشان میدهد این بدافزار از طریق بیش از ۵۰ برنامه منتشرشده در گوگل پلی به دست کاربران رسیده و تاکنون حداقل ۲.۳ میلیون بار نصب شده است.
بر اساس گزارش منتشرشده توسط BleepingComputer، برنامههایی که حامل این بدافزار بودهاند عمدتاً شامل اپلیکیشنهای پاکسازی گوشی، گالری تصاویر و برخی بازیها هستند. نکته قابل توجه این است که این برنامهها در ظاهر کاملاً عادی عمل میکردند و برخلاف بسیاری از بدافزارها، درخواست دسترسیهای مشکوک نیز نداشتند.
پس از نصب، این برنامهها تلاش میکردند با سوءاستفاده از آسیبپذیریهای قدیمی سیستمعامل اندروید که در فاصله سالهای ۲۰۱۶ تا ۲۰۲۱ برطرف شدهاند، به سطح دسترسی روت (Root Access) در دستگاه دست پیدا کنند. دسترسی روت به بدافزار اجازه میدهد کنترل گستردهای بر سیستم عامل و برنامههای نصبشده داشته باشد.
تحقیقات شرکت امنیتی مکآفی (McAfee) نشان میدهد بدافزار NoVoice به یک گروه هکری مشخص نسبت داده نشده است، اما از نظر ساختار و عملکرد شباهتهایی با تروجان اندرویدی Triada دارد. همچنین بررسیها نشان داده که این بدافزار بهطور هدفمند دستگاههای برخی مناطق خاص مانند پکن و شنژن چین را آلوده نکرده است.
یکی از خطرناکترین ویژگیهای این بدافزار، تزریق کد مخرب به سایر اپلیکیشنهای فعال در گوشی است. NoVoice از دو بخش اصلی تشکیل شده است؛ بخش نخست امکان نصب یا حذف مخفیانه برنامهها را فراهم میکند و بخش دوم در داخل برنامههایی که به اینترنت دسترسی دارند فعال میشود.
طبق گزارش مکآفی، تمرکز اصلی این بدافزار در حال حاضر روی اپلیکیشن واتساپ بوده است. زمانی که واتساپ در دستگاه آلوده اجرا میشود، بدافزار دادههای حساسی را که برای تکرار نشست کاربر (Session Hijacking) لازم است استخراج کرده و برای سرورهای مهاجمان ارسال میکند.
محققان هشدار دادهاند که ساختار ماژولار این بدافزار باعث میشود در آینده سایر اپلیکیشنها نیز هدف حملات مشابه قرار بگیرند. در برخی موارد حتی بازگشت به تنظیمات کارخانه (Factory Reset) نیز قادر به حذف کامل این بدافزار از دستگاه آلوده نبوده است.
