O campanie de malware foarte persistentă a fost recent identificată și deturnată de către echipa de cercetare mobilă a companiei McAfee, evidențiind o vulnerabilitate majoră în securitatea dispozitivelor Android mai vechi. Operațiunea, denumită NoVoice, exploatează probleme de securitate ale sistemului de operare, probleme pentru care au fost lansate patch-uri între 2016 și 2021, dar care continuă să afecteze un număr semnificativ de utilizatori.
Cum ajungea virusul pe telefoane
Aplicațiile infectate erau distribuite prin magazinul oficial Google Play, aparent inofensive, fiind deghizate în utilitare sau jocuri obișnuite. În total, cele 50 de aplicații identificate au fost descărcate de peste 2,3 milioane de utilizatori, conform El Economista. Odată ce utilizatorul apăsa pe butonul de instalare, aplicația se conecta în fundal la un server extern, de pe care descărca exploit-ul adaptat la modelul și versiunea de sistem de pe telefon.
Malware-ul suprascria apoi o bibliotecă centrală a sistemului, ceea ce îi permitea să ruleze în fundal, invizibil pentru utilizator, și să aibă acces complet la datele și funcțiile telefonului. Această metodă de infectare asigura persistenta infectiei, deoarece malware-ul putea rula continuu, chiar și după încercări de resetare sau reinstalare.
De ce este atât de periculos
Unul dintre cele mai îngrijorătoare aspecte ale acestei campanii este gradul de acces obținut de către atacatori. Malware-ul suna invizibil, rulând în mod transparent și fără a necesita intervenția utilizatorului. Astfel, cei care se aflau în spatele operațiunii puteau extrage datele personale, informații bancare sau alte fișiere sensibile fără ca utilizatorii să observe vreo activitate suspectă.
Cel mai grav detaliu al situației îl reprezintă persistența infecției. Resetarea dispozitivului la setările din fabrică nu elimina virusul, deoarece infectarea se afla la nivelul sistemului de operare. Singura soluție reală și completă rămâne reinstalarea firmware-ului, o procedură dificilă și adesea inaccesibilă pentru utilizatorii obișnuiți, mai ales pe dispozitivele mai vechi.
Cine riscă cel mai mult
Implicarea și vulnerabilitatea dispozitivelor mai vechi sunt evidente în această situație. Campania NoVoice a fost în special orientată spre telefoanele cu sisteme de operare învechite, care nu mai beneficiază de actualizări de securitate din partea producătorilor. În acest mod, hackeri exploatau vulnerabilități cunoscute încă din anii anteriori și disponibile pentru realizarea de atacuri eficiente și fără risc de a fi blocate.
Țările cele mai afectate sunt Etiopia, Algeria, Kenya și India, unde utilizatorii de telefoane mai vechi sunt numeroși. Cu toate acestea, amploarea globală a campaniei nu trebuie ignorată, întrucât dispozitivele vulnerabile se găsesc în toate colțurile lumii și nu există o limitare geografică clară a incidentului.
Ce trebuie făcut pentru a proteja dispozitivele
Specialiștii recomandă în special actualizarea sistemului de operare ca măsură principală de protecție. Dispozitivele care nu mai primesc update-uri de securitate sunt vulnerabile la exploit-uri cunoscute, iar installarea de aplicații doar din surse oficiale reduce riscul de infectare. În cazul dispozitivelor mai vechi, utilizatorii trebuie să fie conștienți de limitele și vulnerabilitățile asociate și, dacă este posibil, să ia în considerare înlocuirea device-urilor în scopul asigurării unei securități sporite.
Operațiunea NoVoice continuă să fie un exemplu de importanță a menținerii actualizărilor și de riscuri asociate dispozitivelor învechite, mai ales în contextul unor exploit-uri sofisticate, capabile să rămână active și după tentative de eliminare. Data de 20 aprilie 2023 marchează o nouă alertă pentru utilizatorii de telefoane, fiind momentul în care autoritățile și companiile de securitate subliniază importanța unei conduite proactive în protecția datelor personale.
