Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Hai scaricato un gioco… e hai installato un hacker gratis
Su Google Play è stata scoperta una vasta campagna malware: il malware NoVoice era nascosto in oltre 50 app, installate almeno 2,3 milioni di volte. Le app infette si sono mascherate da utility di pulizia del sistema, gallerie fotografiche e giochi, non richiedevano autorizzazioni sospette e svolgevano le loro funzioni previste.
Secondo i ricercatori di McAfee, dopo l’avvio dell’app sul dispositivo della vittima, il malware ha tentato di ottenere l’accesso root sfruttando vecchie vulnerabilità di Android corrette tra il 2016 e il 2021. Gli esperti notano le somiglianze tra NoVoice e il noto trojan Android Triada , ma non sono ancora riusciti a collegare questa campagna a un gruppo specifico.
Gli esperti spiegano che gli aggressori hanno nascosto componenti dannosi nel pacchetto com.facebook.utils, mescolandoli con classi legittime nell’SDK di Facebook*. Il payload crittografato (enc.apk) è stato estratto dal file PNG tramite steganografia, caricato in memoria e tutti i file intermedi sono stati distrutti.
Prima del lancio, il malware ha eseguito 15 controlli, tentando di rilevare emulatori, debugger e VPN, ed ha evitato di attaccare i dispositivi che operavano in determinate regioni (nello specifico, Pechino e Shenzhen).
NoVoice ha quindi contattato il server di comando e controllo, ha raccolto informazioni sul dispositivo (dati hardware, versioni del kernel e di Android, elenco delle app installate, stato di root) e, sulla base di queste informazioni, ha selezionato una strategia di sfruttamento. Ogni 60 secondi, il malware interrogava il server di comando e controllo e scaricava exploit specifici per il dispositivo.
Complessivamente, i ricercatori hanno identificato 22 exploit, tra cui bug del kernel di tipo use-after-free e vulnerabilità del driver GPU Mali. Queste vulnerabilità fornivano agli operatori di malware una shell con privilegi di root e permettevano loro di disabilitare SELinux, eliminando di fatto la sicurezza di base del dispositivo.
Dopo aver ottenuto l’accesso root, il malware ha sostituito le librerie di sistema chiave (libandroid_runtime.so e libmedia_jni.so) con versioni modificate contenenti hook incorporati che intercettavano le chiamate di sistema e reindirizzavano l’esecuzione a codice dannoso.
Il rootkit si è infiltrato nel sistema attraverso diversi metodi: installando script di ripristino, sostituendo il gestore degli arresti anomali del sistema con il proprio bootloader e posizionando payload di backup sulla partizione di sistema. Poiché questa partizione non viene cancellata durante un ripristino delle impostazioni di fabbrica, NoVoice può sopravvivere anche a un ripristino completo del dispositivo. Inoltre, un demone separato verifica l’integrità del rootkit una volta al minuto e, se necessario, reinstalla i componenti mancanti o riavvia forzatamente il dispositivo.
Durante la fase di post-sfruttamento, il codice dannoso viene iniettato in ogni app avviata sul dispositivo. Tuttavia, l’obiettivo principale degli aggressori è WhatsApp. All’avvio dell’applicazione di messaggistica, il malware estrae database crittografati, chiavi del protocollo Signal, numeri di telefono e dati di backup di Google Drive. Tutte queste informazioni vengono inviate al server di comando e controllo, consentendo agli operatori del malware di clonare la sessione WhatsApp della vittima sul suo dispositivo.
McAfee sottolinea che l’architettura modulare di NoVoice consente l’utilizzo di altri payload destinati a qualsiasi altra applicazione.
Tutte le app infette sono state rimosse dal Google Play Store dopo che i ricercatori hanno segnalato il problema ai rappresentanti di Google. Tuttavia, si consiglia agli utenti che in precedenza hanno installato app dannose di considerare i propri dispositivi e i propri dati compromessi.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]