В «Play Маркете» обнаружены десятки приложений с вирусом NoVoice — их скачали 2,3 млн раз
Почему миллионы скачали вирус NoVoice: честный разбор угрозы
В Google Play обнаружили 50 приложений с вирусом NoVoice. Их скачали 2,3 миллиона раз. И это не очередная страшилка — вредонос реально опасен. Он получает root, встраивается в систему и ворует данные из WhatsApp. Почему Google пропустил такое? И как защититься?
Я перелопатил отчет экспертов McAfee. Ниже — сжато, без воды, с цифрами и выводами.
Как вирус проникает — элегантная маскировка
NoVoice прячется внутри обычных приложений: фотогалерей, игр, чистильщиков. Они работают как обещано — не требуют подозрительных разрешений. Пользователь даже не подозревает, что внутри зашит зловред.
Вредоносный пакет называется «com.facebook.utils». Он смешивается с легитимными классами SDK Facebook. Полезная нагрузка зашифрована в файле «enc.apk», спрятанном внутри PNG-картинки. После запуска она извлекается, загружается в память как «h.apk», а исходные файлы удаляются. Следов — ноль.
Интересная деталь: если устройство находится в Пекине или Шэньчжэне, заражение прекращается. Вирус проверяет геолокацию, а также 15 раз тестирует, не эмулятор ли перед ним, нет ли отладчика или VPN. Только убедившись, что жертва реальна, он продолжает атаку.
Личное наблюдение: недавно я заметил, что многие пользователи вообще не проверяют, какие разрешения запрашивают приложения. «Ну, галерея — ей же нужен доступ к файлам?» — и ставят галочку не глядя. NoVoice как раз на это рассчитан.
Root и руткит — полный контроль над устройством
После активации NoVoice связывается с сервером и передает данные об устройстве: версию ядра, Android, список установленных приложений, статус root. Каждые 60 секунд он загружает новые эксплойты, адаптированные под конкретную жертву. McAfee нашли 22 разных эксплойта — от ошибок в драйверах Mali до уязвимостей ядра, связанных с освобождением памяти.
Когда root получен, вредонос подменяет две системные библиотеки: libandroid_runtime.so и libmedia_jni.so. Они перехватывают системные вызовы. Это уже руткит — он прячется глубже, чем обычный вирус.
Хитрее всего — устойчивость. Руткит создает скрипты восстановления, подменяет обработчик сбоев (если система падает, руткит перезапускается) и сохраняет резервные копии в системном разделе. Даже сброс к заводским настройкам не поможет — этот раздел не очищается. Каждые 60 секунд сторожевой демон проверяет целостность руткита и восстанавливает отсутствующие компоненты.
Удалить такое без перепрошивки? Крайне сложно. Практически невозможно.
| Версия Android | Уязвимость закрыта | Защита от NoVoice |
|---|---|---|
| Android 4.4 – 6.0 | 2016 | Уязвим |
| Android 7.0 – 8.1 | 2017-2019 | Уязвим без патчей |
| Android 9 – 10 | 2020-2021 | Частично защищен |
| Android 11+ (с багфиксами до мая 2021) | Май 2021 | Защищен |
Кража данных WhatsApp и что может быть ещё
Когда руткит закрепился, разворачиваются два функциональных модуля. Первый — скрытая установка и удаление приложений. Второй — кража данных. Он подключается к любому приложению с доступом в интернет и ворует информацию.
В нынешней версии цель — WhatsApp. При запуске мессенджера на зараженном устройстве NoVoice извлекает базы данных, ключи шифрования, идентификатор учетной записи (номер телефона) и данные резервного копирования с Google Drive. Все это уходит на сервер злоумышленников. Они могут клонировать сессию WhatsApp на своем устройстве — читать переписку, звонить, притворяться вами.
Модульная архитектура позволяет подключать другие полезные нагрузки. Технически можно адаптировать вирус под Telegram, банковские приложения или что угодно. Пока не адаптировали — просто не было необходимости.
Важный момент: устройства с обновлениями безопасности после мая 2021 года защищены. Уязвимости, которые эксплуатирует NoVoice, были закрыты Google несколько лет назад. Но миллионы людей не обновляются — у кого старый телефон, у кого «а зачем». Вот вам и 2,3 миллиона заражений.
Что делать прямо сейчас
Если ваш Android обновлен до патча мая 2021 или новее — можете выдохнуть. Google Play Protect автоматически удалит ранее установленные зараженные приложения и заблокирует новые.
Если обновлений нет — срочно ставьте. Производители бюджетных телефонов часто забрасывают поддержку. В таком случае:
- Не устанавливайте приложения из сомнительных источников, даже из Google Play — смотрите на дату последнего обновления и количество загрузок.
- Включите Google Play Protect (обычно уже включен, но проверьте).
- Если подозреваете заражение — единственный надежный способ: полный сброс с прошивкой через ПК (fastboot). Обычный сброс из настроек не поможет.
Если ваш телефон уже заражен, считайте данные скомпрометированными. Смените пароли, активируйте двухфакторку, предупредите контакты об угоне WhatsApp.
Мнение автора
NoVoice — не революция, а пример того, как старые дыры эксплуатируются снова и снова. Пока пользователи не начнут обновлять устройства, мы будем видеть такие истории каждый год. Google мог бы сильнее давить на производителей, но коммерция превыше безопасности. В итоге защита каждого — в его собственных руках. Обновляйтесь. Это скучно, но работает.
