La campagna malevola “Operation NoVoice”, analizzata dai ricercatori di McAfee, rappresenta un’attività su larga scala che si aggiunge al panorama del malware Android.
Il punto di forza dell’attacco non è tanto l’inganno dell’utente, quanto la capacità del malware di colpire sistemi obsoleti o non aggiornati in modo mirato, trasformando smartphone apparentemente sicuri in strumenti profondamente compromessi.
“La campagna è stata diffusa tramite oltre 50 app precedentemente disponibili su Google Play, camuffate da strumenti di uso quotidiano come app per la pulizia, giochi e programmi per la modifica delle foto. Complessivamente, le app sono state scaricate più di 2,3 milioni di volte, sebbene non sia chiaro quanti dispositivi possano essere stati interessati”, si legge nel rapporto di McAfee.
Il cuore dell’operazione sarebbe pertanto l’utilizzo di vulnerabilità Android già note e corrette nei dispositivi più recenti. Il malware non necessiterebbe quindi di exploit innovativi, ma sfrutterebbe tecniche consolidate adattandole dinamicamente al contesto.
Una volta eseguito l’exploit, ottenendo privilegi elevati fino al livello root, garantirebbe agli attaccanti il controllo completo del sistema colpito e la possibilità di operare indisturbati.
“In altre parole, sui dispositivi vulnerabili il malware può comportarsi come una sorta di zombie digitale, continuando a operare in background anche dopo un riavvio”, spiega Brooke Seipel Editor in Chief di McAfee.
Indice degli argomenti
Infezione invisibile e selettiva
Come detto, le applicazioni coinvolte si presenterebbero come software legittimi e funzionanti, riuscendo a superare i controlli degli store ufficiali senza destare sospetti (i ricercatori fanno sapere che queste app sono state rimosse da Google Play e non sono più disponibili per il download).
Dopo l’installazione, il malware rimanendo in apparenza inattivo, avvierebbe una fase di profilazione del dispositivo.
Vengono raccolte informazioni tecniche come versione del sistema, patch di sicurezza e caratteristiche hardware, tutti dati che vengono successivamente inviati ad un’infrastruttura di comando e controllo in modo da selezionare l’exploit più efficace, rendendo l’attacco altamente personalizzato.
Persistenza e resistenza alla rimozione
Uno degli elementi più critici sarebbe stata la capacità di persistere anche dopo tentativi di rimozione.
Il malware installandosi in componenti di sistema e in aree che non vengono eliminate con un semplice ripristino di fabbrica, era anche in grado di autorigenerarsi grazie a meccanismi di controllo interno, secondo un comportamento tipico di un rootkit, aumentando in modo significativo la complessità della sua rimozione.
“Una volta installato, il rootkit modifica una libreria di sistema Android fondamentale su cui si basano tutte le app”, continua Brooke Seipel. “Ciò consente l’esecuzione di codice controllato da un malintenzionato all’interno di qualsiasi applicazione aperta dall’utente. Ciò significa che gli aggressori potrebbero potenzialmente accedere ai dati di app di messaggistica, app finanziarie o app di social media senza che l’utente se ne accorga”.
Una volta stabilita la persistenza, il malware poteva pertanto eseguire diverse attività avanzate, come ad esempio l’iniezione di codice nelle applicazioni in esecuzione, consentendo l’intercettazione di dati sensibili e la manipolazione del comportamento delle app.
Il ruolo dell’audio silenzioso nella persistenza
Un dettaglio tecnico particolarmente interessante riguarda anche l’origine del nome della campagna. I ricercatori durante le fasi di reverse engineering avrebbero individuato una risorsa interna al malware denominata “novoice” (probabilmente un errore di ortografia di “no voice”).
Questo componente conteneva una traccia audio muta la cui funzione era semplicemente quella di mantenere il malware in esecuzione in background. Infatti, riproducendo costantemente questo audio, il malware riusciva a mantenersi continuamente attivo senza generare segnali evidenti per l’utente.
Misure di mitigazione
L’analisi di McAfee evidenzia come la difesa più efficace per questo tipo di minacce sia il mantenimento aggiornato del dispositivo, oltre all’uso di software di sicurezza anche per i dispositivi mobili.
È quindi fondamentale sempre verificare il livello delle patch di sicurezza installate ed evitare l’utilizzo di dispositivi non più supportati.
Anche la scelta delle applicazioni deve essere prudente, privilegiando sviluppatori affidabili. Come rimarcato nel rapporto, in caso di infezione sospetta, potrebbe non essere sufficiente la semplice disinstallazione delle app o il ripristino di fabbrica dello smartphone.
È necessario procedere con il reflashing completo del firmware o sostituire il dispositivo qualora fuori supporto.
