概要
NoVoiceは、Google Playで配布された50以上のアプリを通じて展開された新しいAndroidルートキットキャンペーンです。このキャンペーンは、2016年から2021年にパッチが適用された22の脆弱性を悪用し、何百万台もの古いおよび未修正のAndroidデバイスを乗っ取りました。
攻撃の仕組み
NoVoiceは、Google Playからインストールされたアプリケーションを通じて配布されます。これらのアプリはクリーナーやギャラリートゥールなどの日常的なユーティリティを装っており、通常の動作と見分けがつきません。
- 攻撃者は、アプリのアセットディレクトリにポリグロット画像として初期の悪意のあるペイロードを保存します。この画像は通常のPNGとして表示されますが、PNG IENDマーカーの後に暗号化されたAPKが追加されています。
- アプリケーションが最初に起動すると、隠れたコードが実行され、このペイロードが抽出および復号化されます。その後、追加のAPKとして読み込まれます。
NoVoiceは、エミュレータやデバッグツールなどの存在をチェックし、特定の地域(北京や深センなど)での実行を避けるための地図フェンシングも使用します。これらのチェックがすべてパスすると、マルウェアはコマンド&コントロール(C2)サーバーと通信します。
WhatsAppセッションの盗難
NoVoiceは、システムライブラリをハックし、すべてのアプリケーションが開始されるたびに注入コードを実行します。これにより、マルウェアは異なるペイロードをアクティブ化することができます。
- WhatsAppが起動すると、PtfLibcという名前のペイロードがWhatsAppの暗号化データベースをコピーし、Signalプロトコルアイデンティティキー、登録ID、最近の署名プリキーや電話番号などの情報を抽出します。
- これらの情報は複数の層で暗号化され、攻撃者が制御するドメインにエクスフィルレートされます。これにより、攻撃者は別のデバイス上で被害者のWhatsAppセッションをクラッピングすることができます。
対策と影響
McAfeeはGoogleを通じてこのキャンペーンについて責任ある開示を行い、Googleは関連アプリケーションをGoogle Playから削除し、関連する開発者アカウントを禁止しました。
- McAfeeのモバイルセキュリティは、この脅威を高リスクのAndroid/NoVoiceマルウェアファミリーとして検出します。