🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo malware Android chamado NoVoice foi encontrado no Google Play, escondido em mais de 50 aplicativos que foram baixados pelo menos 2,3 milhões de vezes.
Os aplicativos que transportavam a carga maliciosa incluíam produtos de limpeza, galerias de imagens e jogos. Eles não exigiram permissões suspeitas e forneceram a funcionalidade prometida.
Depois de lançar um aplicativo infectado, o malware tentou obter acesso root no dispositivo explorando vulnerabilidades antigas do Android que receberam patches entre 2016 e 2021.
Pesquisadores da empresa de segurança cibernética McAfee descobriram a operação NoVoice, mas não conseguiram vinculá-la a um agente de ameaça específico. No entanto, eles destacaram que o malware compartilhava semelhanças com o trojan Triada para Android.
Aplicativo no Google Play que transporta a carga útil do NoVoiceFonte: McAfee
Cadeia de infecção NoVoice
De acordo com os pesquisadores da McAfee, o agente da ameaça ocultou componentes maliciosos no pacote com.facebook.utils, misturando-os com as classes legítimas do SDK do Facebook.
Uma carga criptografada (enc.apk) escondida dentro de um arquivo de imagem PNG usando esteganografia é extraída (h.apk) e carregada na memória do sistema enquanto todos os arquivos intermediários são apagados para eliminar rastros.
A McAfee observa que o agente da ameaça evita infectar dispositivos em determinadas regiões, como Pequim e Shenzhen, na China, e implementou 15 verificações para emuladores, depuradores e VPNs. Se as permissões de localização não estiverem disponíveis, o malware continua a cadeia de infecção.
Verificações de validação realizadas no dispositivo infectadoFonte: McAfee
O malware então entra em contato com o servidor de comando e controle (C2) e coleta informações do dispositivo, como detalhes de hardware, versão do kernel, versão do Android (e nível de patch), aplicativos instalados e status da raiz, para determinar a estratégia de exploração.
Em seguida, o malware pesquisa o C2 a cada 60 segundos e baixa vários componentes para explorações específicas do dispositivo, projetadas para fazer root no sistema da vítima.
Os pesquisadores criaram um mapa da cadeia de infecção desde a fase de entrega até a fase de injeção.
Cadeia de comprometimento do malware NoVoice Androidfonte: McAfee
A McAfee afirma ter observado 22 explorações, incluindo bugs de kernel de uso após livre e falhas de driver de GPU do Mali. Essas explorações fornecem aos operadores um shell root e permitem que desabilitem a aplicação do SELinux no dispositivo, eliminando efetivamente suas proteções de segurança fundamentais.
Depois de fazer o root no dispositivo, as principais bibliotecas do sistema, como libandroid_runtime.so e libmedia_jni.so, são substituídas por wrappers viciados que interceptam chamadas do sistema e redirecionam a execução para o código de ataque.
O rootkit estabelece múltiplas camadas de persistência, incluindo a instalação de scripts de recuperação, a substituição do manipulador de falhas do sistema por um carregador de rootkit e o armazenamento de cargas de fallback na partição do sistema.
Como essa parte do armazenamento do dispositivo não é apagada durante uma redefinição de fábrica, o malware persistirá mesmo após uma limpeza agressiva.
Um daemon watchdog é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente os componentes ausentes. Se as verificações falharem, isso forçará a reinicialização do dispositivo, fazendo com que o rootkit seja recarregado.
Roubo de dados do WhatsApp
Durante a fase pós-exploração, o código controlado pelo invasor é injetado em cada aplicativo iniciado no dispositivo. Dois componentes principais são implantados: um que permite a instalação ou remoção silenciosa de aplicativos e outro que opera em qualquer aplicativo com acesso à Internet.
Este último serve como mecanismo primário de roubo de dados, e a McAfee observou que tinha como alvo principal o aplicativo de mensagens WhatsApp.
Quando o WhatsApp é iniciado em um dispositivo infectado, o malware extrai dados confidenciais necessários para replicar a sessão da vítima, incluindo bancos de dados criptografados, chaves de protocolo Signal e identificadores de conta, como número de telefone e detalhes de backup do Google Drive.
Essas informações são então filtradas para o C2, permitindo que os invasores clonem a sessão do WhatsApp da vítima em seu próprio dispositivo.
Código para roubar bancos de dados do WhatsAppFonte: McAfee
Os pesquisadores observaram que, embora tenham recuperado apenas uma carga útil focada no WhatsApp, o design modular do NoVoice torna tecnicamente possível o uso de outras cargas direcionadas a qualquer aplicativo no dispositivo.
Os aplicativos Android maliciosos que transportam cargas úteis do NoVoice foram removidos do Google Play depois que a McAfee, membro da App Defense Alliance, os denunciou ao Google.
No entanto, os utilizadores que os instalaram anteriormente devem considerar os seus dispositivos e dados comprometidos.
Como o NoVoice tem como alvo falhas corrigidas até maio de 2021, a atualização para um dispositivo que executa um patch de segurança posterior mitiga efetivamente essa ameaça em sua forma atual.
Recomenda-se que os usuários do Android atualizem para modelos com suporte ativo e instalem apenas aplicativos de editores confiáveis e conhecidos, mesmo no Google Play.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. BASE
Os aplicativos que transportavam a carga maliciosa incluíam produtos de limpeza, galerias de imagens e jogos. Eles não exigiram permissões suspeitas e forneceram a funcionalidade prometida.
Depois de lançar um aplicativo infectado, o malware tentou obter acesso root no dispositivo explorando vulnerabilidades antigas do Android que receberam patches entre 2016 e 2021.
Pesquisadores da empresa de segurança cibernética McAfee descobriram a operação NoVoice, mas não conseguiram vinculá-la a um agente de ameaça específico. No entanto, eles destacaram que o malware compartilhava semelhanças com o trojan Triada para Android.
Aplicativo no Google Play que transporta a carga útil do NoVoiceFonte: McAfee
Cadeia de infecção NoVoice
De acordo com os pesquisadores da McAfee, o agente da ameaça ocultou componentes maliciosos no pacote com.facebook.utils, misturando-os com as classes legítimas do SDK do Facebook.
Uma carga criptografada (enc.apk) escondida dentro de um arquivo de imagem PNG usando esteganografia é extraída (h.apk) e carregada na memória do sistema enquanto todos os arquivos intermediários são apagados para eliminar rastros.
A McAfee observa que o agente da ameaça evita infectar dispositivos em determinadas regiões, como Pequim e Shenzhen, na China, e implementou 15 verificações para emuladores, depuradores e VPNs. Se as permissões de localização não estiverem disponíveis, o malware continua a cadeia de infecção.
Verificações de validação realizadas no dispositivo infectadoFonte: McAfee
O malware então entra em contato com o servidor de comando e controle (C2) e coleta informações do dispositivo, como detalhes de hardware, versão do kernel, versão do Android (e nível de patch), aplicativos instalados e status da raiz, para determinar a estratégia de exploração.
Em seguida, o malware pesquisa o C2 a cada 60 segundos e baixa vários componentes para explorações específicas do dispositivo, projetadas para fazer root no sistema da vítima.
Os pesquisadores criaram um mapa da cadeia de infecção desde a fase de entrega até a fase de injeção.
Cadeia de comprometimento do malware NoVoice Androidfonte: McAfee
A McAfee afirma ter observado 22 explorações, incluindo bugs de kernel de uso após livre e falhas de driver de GPU do Mali. Essas explorações fornecem aos operadores um shell root e permitem que desabilitem a aplicação do SELinux no dispositivo, eliminando efetivamente suas proteções de segurança fundamentais.
Depois de fazer o root no dispositivo, as principais bibliotecas do sistema, como libandroid_runtime.so e libmedia_jni.so, são substituídas por wrappers viciados que interceptam chamadas do sistema e redirecionam a execução para o código de ataque.
O rootkit estabelece múltiplas camadas de persistência, incluindo a instalação de scripts de recuperação, a substituição do manipulador de falhas do sistema por um carregador de rootkit e o armazenamento de cargas de fallback na partição do sistema.
Como essa parte do armazenamento do dispositivo não é apagada durante uma redefinição de fábrica, o malware persistirá mesmo após uma limpeza agressiva.
Um daemon watchdog é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente os componentes ausentes. Se as verificações falharem, isso forçará a reinicialização do dispositivo, fazendo com que o rootkit seja recarregado.
Roubo de dados do WhatsApp
Durante a fase pós-exploração, o código controlado pelo invasor é injetado em cada aplicativo iniciado no dispositivo. Dois componentes principais são implantados: um que permite a instalação ou remoção silenciosa de aplicativos e outro que opera em qualquer aplicativo com acesso à Internet.
Este último serve como mecanismo primário de roubo de dados, e a McAfee observou que tinha como alvo principal o aplicativo de mensagens WhatsApp.
Quando o WhatsApp é iniciado em um dispositivo infectado, o malware extrai dados confidenciais necessários para replicar a sessão da vítima, incluindo bancos de dados criptografados, chaves de protocolo Signal e identificadores de conta, como número de telefone e detalhes de backup do Google Drive.
Essas informações são então filtradas para o C2, permitindo que os invasores clonem a sessão do WhatsApp da vítima em seu próprio dispositivo.
Código para roubar bancos de dados do WhatsAppFonte: McAfee
Os pesquisadores observaram que, embora tenham recuperado apenas uma carga útil focada no WhatsApp, o design modular do NoVoice torna tecnicamente possível o uso de outras cargas direcionadas a qualquer aplicativo no dispositivo.
Os aplicativos Android maliciosos que transportam cargas úteis do NoVoice foram removidos do Google Play depois que a McAfee, membro da App Defense Alliance, os denunciou ao Google.
No entanto, os utilizadores que os instalaram anteriormente devem considerar os seus dispositivos e dados comprometidos.
Como o NoVoice tem como alvo falhas corrigidas até maio de 2021, a atualização para um dispositivo que executa um patch de segurança posterior mitiga efetivamente essa ameaça em sua forma atual.
Recomenda-se que os usuários do Android atualizem para modelos com suporte ativo e instalem apenas aplicativos de editores confiáveis e conhecidos, mesmo no Google Play.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. BASE
#samirnews #samir #news #boletimtec #malware #android #novoice #no #google #play #infectou #2,3 #milhões #de #dispositivos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário