V „Play Market“ bylo nalezeno desítky aplikací s škodlivým NoVoice, které stáhli 2,3 milionu uživatelů

Krátké shrnutí

V Google Play Market bylo nalezeno více než 50 aplikací obsahujících škodlivý kód *NoVoice*.

- Viroz využívá známé zranitelnosti Android (2016‑2021) pro získání rootových práv.
- Staženo více než 2,3 milionu krát.
- Aplikace vypadají jako foto galerie, hry a „čistící“ utilitky – nevyžadují podezřelé oprávnění.

Experti z McAfee potvrdili existenci hrozby, ale nedokázali určit konkrétního útočníka; virus je podobný trojanu *Triada*.

Jak funguje NoVoice
| Fáze | Co se děje | Infekce |
|------|------------|---------|
| Umístění škodlivého kódu | Kód je umístěn do balíčku `com.facebook✴.utils`, maskován jako SDK Facebook. Šifrovaný payload (`enc.apk`) je skryt uvnitř PNG obrázku, z něhož se extrahuje soubor `h.apk` a načte do paměti. Poté jsou všechny dočasné soubory odstraněny. | |
| Podmínka infekce | Pokud je zařízení identifikováno jako v Pekingu nebo Šenčhajně (Čína) a zároveň projde 15 kontrolami na emulátory, ladící nástroje a VPN, proces se ukončí. Jinak pokračuje. | |
| Shromažďování informací | Škodlivý kód se připojí ke vzdálenému serveru a odesílá: verzi jádra, Android, seznam nainstalovaných aplikací, stav root. Požadavky se opakují každých 60 sekund. | |
| Exploity | McAfee odhalila 22 exploity (jádrové chyby, úniky paměti, zranitelnosti ovladačů Mali). Otevřou root shell a vypnou SELinux. | |
| Trvalá přítomnost | Po získání rootu škodlivý kód nahrazuje systémové knihovny `libandroid_runtime.so` a `libmedia_jni.so`, vytváří skripty pro obnovu, nahradí handler chyb a ukládá záložní payload do systémového oddílu (nevymaže se při resetu). Každých 60 sekund spouští démon‑strážce, který kontroluje integritu rootkitu. | |

Funkční moduly
1) Skrytá instalace/odinstalace aplikací.
2) Připojení k libovolné internetové aplikaci a krádež dat (často z WhatsApp). Při otevření messengeru získává databáze, šifrovací klíče, telefonní číslo a záložní kopie v Google Drive a posílá je na řídící server. To umožňuje útočníkům klonovat WhatsApp sezení.

Modularita
Viroz může využít jiné payloady pro libovolné aplikace na zařízení.

Ochrana
- Zařízení aktualizovaná po květnu 2021 již nejsou zranitelná, protože exploity jsou uzavřeny.
- Google Play Protect automaticky odstraňuje nalezené aplikace a blokuje nové instalace.
- Uživatelům se doporučuje pravidelně instalovat všechny dostupné bezpečnostní aktualizace.

Závěr: *NoVoice* je složitý rootkit, který využívá zastaralé zranitelnosti Android pro získání rootových práv, skrytou infekci a krádež dat z populárních aplikací. Ochrana je možná pouze prostřednictvím včasných záplat a používáním Play Protect.