Stáhnete jednu nevinnou aplikaci do Androidu a nic nepoznáte. Mezitím vám virus před očima převezme telefon

Uživatelé Androidu jsou pod útokem viru, který dokáže infikovat celý telefon. Převezme kontrolu nad aplikacemi a systémem, a to úplně tiše.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Android (Google)

Moderní viry bývají složené z několika úrovní, a tak nemají běžné antiviry kolikrát šanci. Nedávno byla odhalena kampaň s názvem NoVoice, která využívá starší slabiny Androidu, aby do něj nainstalovala takzvaný rootkit. S ním už je pak převzetí kontroly nad telefonem hračka. Co si redakce Mobify všimla, tak uživatelé mnohdy podceňují „zdánlivě neškodné“ aplikace tvářící se jako čističe, galerie nebo hry, přitom jsou to ty nejrizikovější.

Propracovaný malware předčí phishing i klasické spywary

Napadení začíná tím, že uživatel stáhne z Google Play zdánlivě legitimní aplikaci. Vše se začne dít po jejím spuštění. Aplikace kontaktuje server útočníka a načte exploit pro root přístup, uzpůsobený konkrétnímu modelu telefonu a verzi Androidu. Pokud exploit uspěje, rootkit (sada programů pro zakrytí viru, vysvětluje Wikipedia) se nainstaluje a získá trvalou kontrolu nad systémovými knihovnami.

To bohužel znamená, že ani obnovení továrního nastavení rootkit neodstraní. Jedinou možností je tedy kompletní přeprogramování firmwaru. Malware je přizpůsobivý, aktualizuje se na dálku a dokáže se aklimatizovat na různé telefony. Takový způsob infekce vyžaduje vysokou úroveň znalostí a plánování, které přesahuje i běžné phishingové útoky nebo klasický spyware. Firma McAfee ho prozkoumala blíž a rozklíčovala jeho vrstvy:

• Fáze 1: Dodání a inicializace – po otevření aplikace je aktivovaný kód ukrytý v běžném SDK (např. Facebook SDK). Na pozadí se dešifruje další payload a připraví se prostředí pro komunikaci s C2 serverem.
• Fáze 2: Strážce brány – nativní knihovna kontroluje prostředí (jestli běží v emulátoru, zda je zařízení rootnuté, nebo zda nejsou aktivní debug nástroje). V případě detekce podezřelého prostředí se řetězec zastaví.
• Fáze 3: Plugin framework – framework pravidelně kontaktuje server, stahuje pluginy a exfiltruje informace, přičemž data mohou být doručena v zakódované formě skryté za běžným obrázkem.
• Fáze 4: Exploity – malware stahuje a spouští exploity pro root přístup, zajišťující plnou kontrolu nad jádrem a deaktivaci bezpečnostních mechanismů, jako je SELinux.
• Fáze 5 a 6: Rootkit a watchdog – rootkit nahrazuje systémové knihovny, manipuluje s frameworkem a instaluje watchdog pro automatickou obnovu, aby přežil restart či pokus o odstranění.
• Fáze 7: Implementace do aplikací – každá spuštěná aplikace načítá kód útočníka, který rozhoduje, jaká data má shromažďovat a odesílat.
• Fáze 8: Krádež dat – konkrétně byly zjištěny útoky na WhatsApp, kdy malware kopíruje databáze, klíče relací a další identifikační údaje, které umožňují klonování účtu na jiném zařízení.

I přes odstranění aplikací pořád hrozí jisté riziko

Kampaň NoVoice je aktuálně nejvíce rozšířená v Nigérii, Etiopii, Alžírsku, Indii a Keni, kde jsou obvyklá a častá levná zařízení s nepodporovanými verzemi Androidu. Starší zařízení (tedy Android 7 a starší), která nedostávají bezpečnostní aktualizace, jsou v ohrožení nejvíc.

Odborníci identifikovali přes 50 aplikací s více než 2,3 miliony stažení, které napadly tisíce zařízení. Google Play odstranil z obchodu veškeré zasažené aplikace a zablokoval i účty vývojářů, ale přesto celá infrastruktura C2 zůstává aktivní a potenciálně stále ohrožuje zařízení, která byla napadena ještě před odstraněním aplikací z obchodu. Existuje několik rad, kterých byste se měli držet:

1. Stahujte aplikace jen od ověřených vývojářů, ověřujte recenze i počet stažení
2. Aktualizujte systém Android a veškeré aplikace – bezpečnostní záplaty z let 2016–2021 byly ty nejvíce kritické, zařízení se záplatami po 1. květnu 2021 (2021-05-01) už by neměla být v ohrožení
3. Nepovolujte neznámá oprávnění a nezadávejte žádné kódy z cizích aplikací
4. Používejte bezpečnostní softwary, jako je třeba zmíněný McAfee Mobile Security nebo jiné antiviry
5. Pokud je telefon napadený, je třeba přeprogramování firmwaru, protože rootkit přežije klasické obnovení továrního nastavení

Dle našeho názoru představuje NoVoice velice nebezpečný typ malwaru. Přestože je aktuálně rizikem hlavně pro starší modely, není vyloučené, že se podobné typy objeví i pro novější telefony.