พบ Malware NoVoice บน Google Play โจมตี Android ไปแล้วกว่า 2.3 ล้านเครื่อง

McAfee เปิดเผยแคมเปญ Malware บน Android ในชื่อ NoVoice ที่แฝงตัวอยู่ในแอปกว่า 50 รายการบน Google Play โดยมียอดดาวน์โหลดรวมกว่า 2.3 ล้านครั้ง สามารถ Root อุปกรณ์และขโมยข้อมูลจาก WhatsApp ได้

แอปที่ถูกฝัง Malware ตัวนี้มีทั้งแอปทำความสะอาดเครื่อง แกลเลอรีรูปภาพ และเกม ซึ่งไม่ได้ร้องขอ Permission ที่น่าสงสัยและยังทำงานได้ตามปกติ หลังจากเปิดแอปที่ติดเชื้อ Malware จะพยายามขอสิทธิ์ Root โดยอาศัยช่องโหว่เก่าบน Android ที่ได้รับแพตช์แก้ไขไปแล้วระหว่างปี 2016-2021 ทีมวิจัยจาก McAfee ระบุว่ายังไม่สามารถระบุตัวผู้โจมตีได้ แต่พบว่า Malware ตัวนี้มีความคล้ายคลึงกับ Triada Android Trojan

ในส่วนของกลไกการทำงาน ผู้โจมตีซ่อน Component ที่เป็นอันตรายไว้ใน Package ชื่อ com.facebook.utils โดยปะปนกับ Class ของ Facebook SDK ที่ถูกต้อง จากนั้นใช้เทคนิค Steganography ซ่อน Payload ที่เข้ารหัสไว้ในไฟล์ PNG แล้วจึงถอดรหัสและโหลดเข้าสู่หน่วยความจำโดยลบไฟล์กลางทิ้งเพื่อไม่ให้ถูกตรวจจับ นอกจากนี้ Malware ยังมีกลไกตรวจสอบ Emulator, Debugger และ VPN ถึง 15 ขั้นตอน และหลีกเลี่ยงการแพร่กระจายในบางภูมิภาคอย่างปักกิ่งและเซินเจิ้นในจีน

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ C2 แล้ว Malware จะรวบรวมข้อมูลอุปกรณ์เพื่อเลือก Exploit ที่เหมาะสม โดยทีมวิจัยพบ Exploit ทั้งหมด 22 ตัว รวมถึงช่องโหว่ Use-after-free ใน Kernel และช่องโหว่ใน Mali GPU Driver หลังจาก Root เครื่องสำเร็จ Malware จะแทนที่ System Library สำคัญด้วย Wrapper ที่ดักจับ System Call พร้อมทั้งปิดการทำงานของ SELinux และติดตั้ง Recovery Script พร้อมเก็บ Payload สำรองไว้ใน System Partition ซึ่งหมายความว่าแม้จะ Factory Reset เครื่องก็ไม่สามารถกำจัด Malware ตัวนี้ได้

นอกจากนี้ยังมี Watchdog Daemon ที่ตรวจสอบความสมบูรณ์ของ Rootkit ทุก 60 วินาที หากพบว่ามี Component หายไปจะติดตั้งใหม่อัตโนมัติ ในขั้นตอน Post-exploitation โค้ดของผู้โจมตีจะถูก Inject เข้าไปในทุกแอปที่เปิดใช้งานบนเครื่อง โดยเป้าหมายหลักคือ WhatsApp ซึ่ง Malware จะดึงข้อมูลสำคัญที่จำเป็นต่อการ Clone Session ของเหยื่อ ไม่ว่าจะเป็น Encryption Database, Signal Protocol Key และข้อมูลบัญชีอย่างหมายเลขโทรศัพท์และรายละเอียดการ Backup บน Google Drive

ปัจจุบัน Google ได้ลบแอปที่เป็นอันตรายทั้งหมดออกจาก Google Play แล้วหลังจากได้รับแจ้งจาก McAfee ซึ่งเป็นสมาชิกของ App Defense Alliance อย่างไรก็ตาม ผู้ใช้งานที่เคยติดตั้งแอปเหล่านี้ไว้ควรถือว่าอุปกรณ์และข้อมูลถูก Compromise แล้ว เนื่องจาก NoVoice ใช้ช่องโหว่ที่ได้รับการแก้ไขไปถึงเดือนพฤษภาคม 2021 การอัปเกรดไปใช้อุปกรณ์ที่ได้รับ Security Patch ที่ใหม่กว่าจะช่วยป้องกันภัยคุกคามนี้ได้ แนะนำให้ผู้ใช้งาน Android อัปเกรดไปใช้อุปกรณ์รุ่นที่ยังได้รับการสนับสนุน และติดตั้งแอปจากผู้พัฒนาที่น่าเชื่อถือเท่านั้น

ที่มา: https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/