"McAfee" şirkətinin kibertəhlükəsizlik mütəxəssisləri "Google Play" mağazasında "NoVoice" virusu daşıyan 50-dən çox tətbiq aşkar ediblər. Əsasən fotoqalereya, oyun və təmizləmə proqramları kimi fəaliyyət göstərən bu tətbiqlər ümumilikdə 2,3 milyon dəfədən çox yüklənib. Zərərli proqramlar istifadəçilərdən şübhəli icazələr tələb etmədən vəd olunan funksiyaları yerinə yetirərək arxa planda fəaliyyət göstərir.
"NoVoice" virusu necə işləyir?
Virus işə düşdükdən sonra 2016-2021-ci illər arasında düzəldilmiş köhnə "Android" boşluqlarından istifadə edərək cihazda "root" (tam idarəetmə) hüququ əldə etməyə çalışır. Zərərli komponentlər "Facebook" SDK-nın qanuni sinifləri ilə qarışaraq gizlənir. Şifrələnmiş fayl PNG formatlı şəklin içərisində yerləşdirilir və sistem yaddaşına yüklənir. Maraqlıdır ki, cihazın Pekin və ya Şençjen (Çin) şəhərlərində olduğu müəyyən edilərsə, yoluxma prosesi dərhal dayandırılır.
Sistemdə necə gizlənir?
Zərərli proqram hər 60 saniyədən bir idarəetmə serveri ilə əlaqə quraraq cihaz haqqında məlumatları ötürür. Mütəxəssislər "root" hüququ əldə etmək üçün istifadə olunan 22 fərqli eksployt aşkar ediblər. Tam giriş əldə edildikdən sonra virus sistem kitabxanalarını dəyişdirir və zavod parametrlərinə sıfırlama zamanı belə silinməyən sistem bölməsində öz ehtiyat nüsxələrini yaradır. Bu isə o deməkdir ki, cihazı tam təmizlədikdən sonra belə virus fəaliyyətini davam etdirir.
Hansı məlumatlar oğurlanır?
Bütün zərərli komponentlər quraşdırıldıqdan sonra virus internetə çıxışı olan istənilən tətbiqə qoşularaq məlumatları oğurlamağa başlayır. Əsas hədəf isə "WhatsApp" messenceridir. Virus yoluxmuş cihazda messencer işə salındıqda şifrələmə açarlarını, məlumat bazalarını, telefon nömrələrini və "Google Drive" ehtiyat nüsxələrini ələ keçirir. Nəticədə kiber cinayətkarlar istifadəçinin "WhatsApp" hesabını öz cihazlarında klonlaya bilirlər.
Təhlükədən necə qorunmaq olar?
"Google" nümayəndələrinin sözlərinə görə, 2021-ci ilin may ayından sonra yenilənmiş cihazlar "NoVoice" virusundan qorunur, çünki istifadə olunan boşluqlar artıq bağlanıb. Əlavə təhlükəsizlik tədbiri olaraq, "Google Play Protect" bu tətbiqləri avtomatik silir və yeni quraşdırmaların qarşısını alır. Lakin artıq yoluxmuş cihazların sahibləri öz məlumatlarının tamamilə ələ keçirildiyini nəzərə almalıdırlar.
