Operațiunea NoVoice, identificată recent de echipa de cercetare mobilă a companiei McAfee, reprezintă una dintre cele mai persistente campanii de malware Android documentate în ultimele luni. Atacatorii au exploatat vulnerabilități vechi ale sistemului de operare, pentru care fuseseră lansate patch-uri între 2016 și 2021, însă mulți utilizatori încă nu și-au actualizat dispozitivele. Această situație a permis infectarea unui număr semnificativ de telefoane, punând în pericol date sensibile și funcționarea normală a dispozitivelor.
Cum ajungea virusul pe telefoane
Malware-ul se distribuia prin aplicații infectate prezentate ca utilitare sau jocuri simple, disponibile în magazinul oficial Google Play. În total, cele 50 de aplicații identificate au fost descărcate de peste 2,3 milioane de utilizatori, conform datelor de până acum. Aplicațiile se deghizau în programe aparent inofensive, astfel încât utilizatorii nu suspectau faptul că le instalează pe dispozitivele lor.
Odată ce o aplicație infectată era deschisă, aceasta se conecta în mod automat la un server extern. De acolo, malware-ul descărca exploit-uri adaptate pentru versiunea și modelul telefonului. Aceste exploit-uri permiteau suprascrierea unei biblioteci centrale a sistemului de operare. În acest mod, virusul putea rula în mod invizibil în fundal, fiind integrat profund în funcționarea zilnică a dispozitivului. Astfel, atacatorii aveau un control complet asupra datelor și funcționalităților telefonului, fără ca utilizatorul să fie conștient de această activitate maliciousă.
De ce este atât de periculos
Principalul pericol vine din faptul că malware-ul oferea acces total la informațiile de pe dispozitiv. Atacatorii puteau extrage date sensibile, precum parole, mesaje sau informații de identificare, fără a semnala această activitate utilizatorului. Codul malițios rula invizibil în fundal, integrat în funcționarea normală a smartphone-ului și dificil de detectat.
Un alt aspect îngrijorător ține de persistenta infecției. Resetarea telefonului la setările din fabrică nu elimina malware-ul, deoarece acesta suprascria doar fișierele temporare, lăsând în urmă codul rău intenționat. Singura soluție chiar și pentru utilizatorii cu cunoștințe tehnice reduse este reinstalarea completă a firmware-ului, o operațiune complicată și riscantă, dificil de realizat fără suport specializat.
Cine este cel mai expus
Campania NoVoice a avut cel mai puternic impact asupra dispozitivelor mai vechi, cu sisteme de operare care nu mai primesc actualizări de securitate. Aceste modele sunt complet vulnerabile la exploit-urile cunoscute și combate orice încercare de a le proteja prin simple resetări sau actualizări de sistem.
Țările cele mai afectate sunt Etiopia, Algeria, Kenya și India, unde vârsta medie a dispozitivelor utilizate este mai mare, iar actualizările de securitate nu sunt implementate în mod regulat. Cu toate acestea, campania a avut o răspândire globală, afectând utilizatori din diverse regiuni ale lumii, indiferent de nivelul de conștientizare sau de resursele disponibile pentru protecție.
Potrivit specialiștilor în securitate cibernetică, principalele măsuri de protecție rămân actualizarea regulată a sistemului de operare și evitarea instalării aplicațiilor din surse nesigure. În cazul dispozitivelor care nu mai primesc patch-uri de securitate, utilizatorii sunt sfătuiți să ia în considerare înlocuirea sau instalarea de sisteme alternative pentru a evita riscurile asociate.
În anul 2023, nu s-a anunțat încă o dată precisă pentru remedierea completă a vulnerabilităților utilizate de malware, accentul fiind pus pe conștientizarea utilizatorilor și pe necesitatea verificării periodice a actualizărilor.
