- McAfee descubre el malware NoVoice oculto en más de 50 aplicaciones de Google Play con 2,3 millones de descargas
- El malware explota fallos antiguos del kernel de Android y de la GPU y persiste incluso después de un restablecimiento de fábrica.
- inyecta código en aplicaciones como WhatsApp para secuestrar sesiones; Google eliminó las aplicaciones pero los dispositivos infectados siguen intactos
Millones de dispositivos Android fueron infectados por malware que espiaba sus chats de WhatsApp y ni siquiera un restablecimiento de fábrica lo eliminará, advirtieron los expertos.
Los investigadores de McAfee publicaron un informe detallado sobre NoVoice, una nueva variante de malware para Android que se encuentra en más de 50 aplicaciones alojadas en Google Play Store y que se ha descargado más de 2,3 millones de veces.
En general, Google es bastante bueno a la hora de impedir que los delincuentes introduzcan malware de contrabando en la plataforma, pero de vez en cuando algo sale mal.
El artículo continúa a continuación.
Clonación de sesiones de WhatsApp
Esta vez, fue un grupo de aproximadamente 50 aplicaciones que funcionaron según lo previsto y no requirieron permisos adicionales, como accesibilidad, que son señales de alerta comunes. Estas aplicaciones se clasifican en diferentes categorías, incluidas aplicaciones de utilidad, galería de imágenes y juegos.
En lugar de engañar a los usuarios para que compartieran permisos amplios, las aplicaciones intentaron explotar casi dos docenas de vulnerabilidades diferentes, incluido un error del kernel de uso posterior a la liberación y una falla en el controlador de la GPU de Mali, todas las cuales fueron reparadas entre 2016 y 2021.
Esto significaba que los atacantes buscaban dispositivos antiguos que sus propietarios no actualizaban ni mantenían de ninguna otra manera.
El malware primero recopilará información del dispositivo del Android infectado, como detalles del hardware, versión del kernel y versión de Android. Después de eso, recibirá más instrucciones, incluida la estrategia de explotación de la fase dos.
Dos cosas son diferentes: cómo establece la persistencia y qué hace después. Entre otras cosas, el malware instala scripts de recuperación que reemplazan el controlador de fallas del sistema y almacenan la carga útil alternativa en la partición del sistema. Por lo tanto, cuando un usuario realiza un restablecimiento de fábrica, el malware aún persiste.
Después de establecer la persistencia, inyecta código malicioso en cada aplicación iniciada en el dispositivo. McAfee destacó WhatsApp diciendo que el malware extrae datos confidenciales necesarios para replicar la sesión de una víctima, permitiendo así a los atacantes clonar la cuenta de WhatsApp de una víctima en su propio dispositivo.
Google dice que ha eliminado todas las aplicaciones maliciosas, pero seguirá comprometida hasta que los usuarios hagan lo mismo en sus dispositivos.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
