近期,資安研究機構 McAfee 在兩篇報導中揭露,一款代號「NoVoice」的 Android 惡意軟體已滲透至超過 50 套 Google Play 上的應用程式,累計安裝次數達 230 萬次。此惡意程式被隱藏於系統清理、圖片瀏覽與休閒遊戲等看似無害的軟體中,利用舊有 Android 漏洞取得 root 權限,進而竊取使用者帳號密碼、安裝或移除其他應用,甚至在某些情況下即便執行出廠重設亦難以根除。相關資訊可參考PhoneArena 報導與BleepingComputer 報導。
NoVoice 的感染鏈相當複雜。研究人員發現,惡意程式會偽裝成合法的 Facebook SDK 類別,並將加密的 payload 隱匿於 PNG 圖片之中,透過 stegano 技術在執行時解壓縮成臨時 APK(h.apk)並載入記憶體,同時抹除所有中間檔案以防留下痕跡。載入後,它會向指揮控制伺服器回報裝置硬體資訊、Android 版本與安全補丁等資料,根據回報結果選擇 22 種已知的 kernel 漏洞或 GPU 驅動缺陷進行利用,最終取得 root 權限並關閉 SELinux,讓攻擊者可自由改寫系統函式庫、插入後門程式。
更令人擔憂的是,NoVoice 在取得系統最高權限後,會在每個具備網路權限的應用程式中植入資料竊取模組,尤其針對 WhatsApp 進行深度攻擊。惡意程式能夠讀取 WhatsApp 的加密資料庫、Signal 協議金鑰與備份資訊,將完整的聊天記錄與驗證憑證傳回 C2 伺服器,讓攻擊者得以在其他裝置上復製受害者的會話,實質造成訊息竊聽與身份冒用的風險。即使使用者執行出廠重設,惡意程式亦會將備援 payload 存於系統分割區,並透過每 60 秒執行一次的 watchdog 守護程式自行恢復,形成高度持久化的根植機制。
針對此波攻擊,Google 已透過 Play Protect 自動下架受感染的應用,並封鎖新安裝。Google 表示,自 2021 年 5 月起發布的安全更新已修補 NoVoice 所利用的所有漏洞,換句話說,更新至該日期之後的裝置基本上已免於被感染。為降低風險,使用者應確保手機系統與安全補丁保持最新,僅從可信的開發者或官方渠道下載應用,並定期檢查 Play Protect 狀態。對於已安裝過受感染應用的裝置,建議立即備份重要資料後重新刷寫官方韌體,以徹底清除潛在的根套件。
