У «Play Маркеті» знайдено десятки застосунків із шкідливим NoVoice, які завантажили 2,3 мільйони користувачів

Коротке резюме

У Google Play Market знайдено понад 50 застосунків, що містять шкідливий код *NoVoice*.

- Вірус використовує відомі вразливості Android (2016‑2021) для отримання root‑прав.
- Завантажено більше 2,3 млн разів.
- Застосунки виглядають як фотогалереї, ігри та «очисники» – вони не потребують підозрілих дозволів.

Експерти McAfee підтвердили наявність загрози, але не змогли встановити конкретного зловмисника; вірус схожий на троян *Triada*.

Як працює NoVoice
| Етап | Що відбувається | Інфекція |
|------|-----------------|----------|
| Пошкодження | Шкідливий код розміщується в пакеті `com.facebook✴.utils`, маскуючись під SDK Facebook. Зашифрована нагрузка (`enc.apk`) схована всередині PNG‑зображення, з якого витягується файл `h.apk` і завантажується у пам’ять. Після цього усі тимчасові файли видаляються. | |
| Умова зараження | Якщо пристрій визначено як розташований в Пекіні або Шеньчжені (Китай), а також проходить 15 перевірок на емулятори, дебагери та VPN, процес припиняється. Інакше продовжується. | |
| Збір інформації | Шкідливий зв’язується з віддаленим сервером і надсилає: версію ядра, Android, список встановлених застосунків, статус root. Запити повторюються кожні 60 секунд. | |
| Експлойти | McAfee виявила 22 експлойта (ядрові помилки, витоки пам’яті, уразливості драйверів Mali). Вони відкривають root‑оболочку і вимикають SELinux. | |
| Постійне перебування | Після отримання root шкідливий замінює системні бібліотеки `libandroid_runtime.so` та `libmedia_jni.so`, створює скрипти відновлення, підміняє обробник збитків і зберігає резервну нагрузку у системному розділі (не стирається при скиданні). Кожні 60 секунд запускається демон‑сторож, який перевіряє цілісність руткита. | |

Функціональні модулі
1) прихована установка/видалення застосунків.
2) підключення до будь-якого інтернет‑застосунку і крадіжка даних (частіше всього з WhatsApp). При відкритті месенджера шкідливий отримує бази, ключі шифрування, номер телефону та резервні копії в Google Drive, надсилаючи їх на управляючий сервер. Це дозволяє зловмисникам клонувати сесії WhatsApp.

Модульність
Вірус може використовувати інші корисні навантаження для будь‑яких застосунків на пристрої.

Захист
- Пристрої, оновлені після травня 2021 р., вже не вразливі, оскільки експлойти закриті.
- Google Play Protect автоматично видаляє знайдені застосунки і блокує нові установки.
- Користувачам рекомендується регулярно встановлювати всі доступні оновлення безпеки.

Висновок: *NoVoice* – складний руткит, що використовує застарілі вразливості Android для отримання root‑прав, прихованого зараження та крадіжки даних з популярних застосунків. Захист можливий лише через своєчасні патчі і використання Play Protect.