في "Play Market" وجدت عشرات التطبيقات التي تحتوي على برنامج ضار NoVoice، وقد حملها 2.3 مليون مستخدم.

في "Play Market" وجدت عشرات التطبيقات التي تحتوي على برنامج ضار NoVoice، وقد حملها 2.3 مليون مستخدم.

4 hardware

ملخص مختصر

تم العثور على أكثر من 50 تطبيقًا في Google Play Market يحتويون على كود خبيث *NoVoice*.

- يستخدم الفيروس ثغرات Android المعروفة (2016‑2021) للحصول على صلاحيات الجذر.
- تم تنزيله أكثر من 2.3 مليون مرة.
- تبدو التطبيقات وكأنها معارض صور، ألعاب أو أدوات تنظيف – ولا تطلب أذونات مريبة.

أكد خبراء McAfee وجود تهديد، لكن لم يتم تحديد المهاجم المحدد؛ الفيروس يشبه طروجان *Triada*.

كيف يعمل NoVoice
المرحلة ماذا يحدث الإصابة الكود الخبيث يُوضع في حزمة `com.facebook✴.utils` متخفيًا تحت SDK Facebook. الحمولة المشفرة (`enc.apk`) مخفية داخل صورة PNG، يتم استخراج ملف `h.apk` منها وتحميله إلى الذاكرة. بعد ذلك تُحذف جميع الملفات المؤقتة. شرط الإصابة إذا كان الجهاز يُحدد كـ"بيكينغ" أو "شنغتشو" (الصين)، ويخضع لـ15 فحصًا للأنظمة الافتراضية، المصححات والـVPN، يتوقف العملية. وإلا تستمر. جمع المعلومات يربط الخبيث بخادم بعيد ويرسل: نسخة النواة، Android، قائمة التطبيقات المثبتة، حالة الجذر. تُكرر الطلبات كل 60 ثانية. استغلالات اكتشفها McAfee 22 استغلالًا (أخطاء نواة، تسريبات الذاكرة، ثغرات برامج تشغيل Mali). تفتح حاوية الجذر وتوقف SELinux. وجود دائم بعد الحصول على الجذر يبدل المكتبات النظامية `libandroid_runtime.so` و `libmedia_jni.so`، ينشئ نصوص استعادة، يستبدل معالج الأخطاء ويخزن الحمولة الاحتياطية في قسم النظام (لا تُمحى عند إعادة الضبط). كل 60 ثانية يُطلق حارس الديمون الذي يتحقق من سلامة الروتكيت. الوحدات الوظيفية
1) تثبيت/إزالة التطبيقات مخفيًا.
2) الاتصال بأي تطبيق إنترنت وسرقة البيانات (غالبًا من WhatsApp). عند فتح المراسلة يحصل الخبيث على قواعد، مفاتيح التشفير، رقم الهاتف والنسخ الاحتياطية في Google Drive، ويرسلها إلى خادم التحكم. يتيح ذلك للمهاجمين استنساخ جلسات WhatsApp.
التقسيم القابل للتعديل يمكن للفيروس استخدام حمولات أخرى لأي تطبيق على الجهاز.

الحماية
- الأجهزة المحدثة بعد مايو 2021 غير معرضة الآن لأن الاستغلالات مغلقة.
- Google Play Protect يحذف التطبيقات المكتشفة تلقائيًا ويمنع التثبيتات الجديدة.
- يُنصح المستخدمون بتحديث جميع تحديثات الأمان المتاحة بانتظام.

النتيجة: *NoVoice* هو روتكيت معقد يستخدم ثغرات Android القديمة للحصول على صلاحيات الجذر، إصابة مخفية وسرقة بيانات من التطبيقات الشهيرة. الحماية ممكنة فقط عبر التصحيحات في الوقت المناسب واستخدام Play Protect.

Related news

التعليقات (0)

شارك أفكارك — يرجى الالتزام بالأدب والبقاء ضمن الموضوع.

لا توجد تعليقات بعد. اترك تعليقًا وشارك رأيك!

لترك تعليق، يرجى تسجيل الدخول.

سجّل الدخول للتعليق

هل نسيت كلمة المرور؟ إنشاء حساب