Morten Lyhne Petersen
Mere end 50 apps på Google Play med over 2,3 millioner downloads gemte rootkittet NoVoice.
Sikkerhedsfirmaet McAfee har afsløret en omfattende malwarekampagne, hvor Android-brugere blev inficeret gennem tilsyneladende harmløse apps i kategorier som oprydningsværktøjer, fotogallerier og spil. Først når brugeren åbnede WhatsApp, gik det skjulte rootkit i gang og kopierede de krypteringsnøgler, der gør det muligt for angriberen at klone offerets konto på en anden telefon.
McAfee kalder operationen NoVoice og offentliggjorde fundene i en ny rapport. Forskerne har sporet aktiviteten tilbage til over 50 apps på Google Play, der tilsammen er hentet mere end 2,3 millioner gange.
Sådan stjæler rootkittet din WhatsApp
Når en inficeret app installeres, udpakker den en krypteret nyttelast, der er skjult i en PNG-billedfil ved hjælp af steganografi. Den udnytter derefter en række ældre Android-sårbarheder, der blev lappet mellem 2016 og 2021, og opnår fulde root-rettigheder på telefonen.
Med root slår malwaren Androids SELinux-beskyttelse fra og venter på, at brugeren åbner WhatsApp. På det tidspunkt tapper rootkittet de data, der skal til for at overtage kontoen, herunder krypteringsdatabaserne, Signal-protokollens nøgler og kontoidentifikatorer. Derefter kan angriberne i praksis logge ind som offeret fra en helt anden enhed.
McAfees forskere observerede 22 forskellige exploits i kampagnen, blandt andet kernel-fejl af typen use-after-free og sårbarheder i Mali-GPU-driveren, der bruges i et stort antal Android-telefoner.
Derfor hjælper en fabriksnulstilling ikke
Det er ikke selve datatyveriet, der har vakt mest opsigt blandt sikkerhedsforskere, men rootkittets evne til at overleve det, de fleste brugere opfatter som en sidste udvej. NoVoice installerer såkaldte recovery-scripts og lægger en reservekopi af sin egen kode på telefonens systempartition, et område der ikke ryddes ved en almindelig fabriksnulstilling.
Oven i det kører en watchdog-proces, der hvert 60. sekund tjekker, om rootkittet er intakt, og automatisk geninstallerer komponenter, hvis de er blevet fjernet. TechRadar beskriver kort konsekvensen: en standard fabriksnulstilling fjerner ikke NoVoice. På de mest udsatte enheder kræver det en fuld reflashing af firmwaren at få telefonen ren igen, og det er noget de færreste brugere selv kan udføre.
For at undgå at blive opdaget af sikkerhedsforskere kører malwaren også 15 forskellige tjek for emulatorer, debuggere og VPN-forbindelser, og den undlader at inficere telefoner i regionerne Beijing og Shenzhen i Kina. McAfee bemærker, at teknikken minder om den ældre Triada-trojaner, men har ikke kunnet knytte NoVoice til en specifik aktør.
Hvad du bør gøre nu
Google har over for de sikkerhedsmedier, der har dækket sagen, oplyst, at telefoner med sikkerhedsopdateringer fra maj 2021 eller senere er beskyttede, fordi de udnyttede sårbarheder for længst er lappet. Google Play Protect fjerner desuden automatisk de berørte apps og blokerer for nye installationer.
I praksis betyder det:
-
Tjek hvilke Android-sikkerhedsopdateringer din telefon er på under Indstillinger og Om enheden. Er sikkerhedspatchen ældre end maj 2021, er du i risikogruppen.
-
Gennemgå dine installerede apps og slet især lidt kendte oprydningsværktøjer, fotofiltre og simple spil, du ikke længere bruger. McAfee og Google har ikke offentliggjort den fulde liste over de 50 apps, men kategorierne er de samme, som man typisk ser i den slags kampagner.
-
Sørg for at Google Play Protect er slået til via Play Butik og indstillingerne for Play Protect, så advarsler om kendte trusler vises automatisk.
-
Hvis du har installeret en af de berørte apps på en ældre telefon uden nye sikkerhedsopdateringer, bør du betragte enheden som kompromitteret. I praksis betyder det enten en reflashing af firmwaren via producenten eller, oftere, et skifte til en nyere telefon.
Sikkerhedsmediet CyberInsider noterer, at NoVoice især har fået fodfæste på Android 7 og ældre, hvor en almindelig fabriksnulstilling ikke kan fjerne infektionen. Det er enheder, der stadig er udbredte i Danmark som billige reservetelefoner og blandt brugere, der har holdt fast i en velfungerende model gennem flere år.
WhatsApp er udbredt blandt familier og foreninger herhjemme, og en kapret konto kan både bruges til at læse private samtaler og til at narre kontakter til at sende penge eller udlevere oplysninger. Det gør NoVoice til mere end et teoretisk problem, også for danske brugere af ældre Android-telefoner.
