Более 2 миллионов установок: приложения с вредоносом NoVoice обнаружены в Google Play

В Google Play нашли десятки зараженных приложений: вредонос NoVoice распространялся через популярные категории и собрал миллионы установок.

Исследование, о котором сообщило издание Bleeping Computer, выявило масштабное распространение вредоносного кода NoVoice через официальный магазин приложений Android. По имеющимся данным, заражение затронуло более 50 программ, доступных в Google Play Store, а суммарное количество их загрузок достигло 2,3 миллиона.

Угрозу обнаружили специалисты McAfee. По их информации, вредоносный компонент внедрялся в приложения разных типов, включая утилиты для очистки системы, мобильные игры и программы для работы с изображениями. Пользователи устанавливали такие приложения как обычные, не подозревая о скрытой нагрузке.

После установки NoVoice активируется в фоновом режиме и пытается использовать уязвимости операционной системы Android для получения расширенных прав доступа. Это дает возможность перехватывать данные, включая учетные записи и пароли, а также управлять установленными приложениями без участия владельца устройства.

Отдельно отмечается, что некоторые вредоносные механизмы способны закрепляться в системе таким образом, что стандартный сброс настроек не всегда приводит к их удалению. В случае с NoVoice ситуация отличается: как уточнили в Google, устройства с установленными обновлениями безопасности, выпущенными после мая 2021 года, защищены от данной угрозы.

Анализ распространения показал необычную особенность. По данным McAfee, в ряде регионов, вредонос не проявлял активности. Это может указывать на целенаправленные ограничения в работе кода. В Google сообщили, что встроенная система защиты Play Protect уже удалила выявленные приложения и блокирует попытки их повторной установки. Пользователям рекомендуется своевременно устанавливать обновления безопасности.

Полный перечень затронутых программ не опубликован. При этом упоминается, что среди них находилось приложение SwiftClean, распространявшееся через магазин. Название NoVoice связано с методом работы: вредонос использует «тихий» аудиофайл, который не воспроизводит звук, но позволяет выполнять скрытые операции в системе без визуальных признаков активности.

Источник: PhoneArena