Malware-ul de pe Google Play care a infectat milioane de telefoane: cum îți compromite complet smartphone-ul Android

Un nou val de amenințări cibernetice lovește ecosistemul Android, după ce un malware sofisticat, denumit „NoVoice”, a fost descoperit în zeci de aplicații aparent inofensive disponibile chiar în Google Play.

Deși platforma este considerată relativ sigură, acest incident arată că nici măcar aplicațiile oficiale nu sunt complet lipsite de riscuri.

Potrivit specialiștilor de la McAfee, malware-ul a fost distribuit prin peste 50 de aplicații, inclusiv utilitare de curățare, galerii foto sau jocuri, care au fost descărcate de cel puțin 2,3 milioane de ori.

Ce este cu adevărat îngrijorător este faptul că aceste aplicații funcționau normal și nu solicitau permisiuni suspecte, ceea ce le făcea aproape imposibil de identificat de către utilizatori obișnuiți.

Cum funcționează NoVoice și de ce este atât de periculos

Odată instalată o aplicație infectată, malware-ul începe un proces complex pentru a obține control total asupra dispozitivului.

Folosind vulnerabilități mai vechi din sistemul Android, unele corectate încă din perioada 2016–2021, NoVoice încearcă să obțină acces de tip „root”, adică cel mai înalt nivel de control asupra telefonului.

Atacul este extrem de bine ascuns. Codul malițios este integrat în componente care par legitime, inclusiv în pachete ce imită structuri ale Facebook SDK.

Mai mult, payload-ul este mascat într-o imagine PNG prin tehnici de steganografie, fiind extras ulterior direct în memoria sistemului, fără a lăsa urme evidente.

După compromiterea inițială, malware-ul comunică constant cu un server de comandă și control (C2), colectând informații detaliate despre dispozitiv: versiunea Android, aplicațiile instalate, nivelul de securitate și chiar starea de root. În funcție de aceste date, descarcă exploit-uri specifice pentru a-și consolida accesul.

Specialiștii au identificat peste 20 de astfel de exploit-uri, inclusiv unele care vizează kernel-ul și driverele GPU. Odată ce reușește să obțină acces root, NoVoice dezactivează mecanisme esențiale de protecție și modifică biblioteci de sistem critice, ceea ce îi permite să controleze practic orice acțiune de pe telefon.

Furt de date și persistență chiar și după resetare

Cea mai gravă consecință apare în etapa finală, când malware-ul începe să extragă date sensibile din aplicațiile utilizatorului. În special, cercetătorii au observat că ținta principală este WhatsApp, una dintre cele mai populare aplicații de mesagerie din lume.

NoVoice poate copia baze de date criptate, chei de securitate și informații de cont, suficiente pentru a clona sesiunea victimei pe un alt dispozitiv. Practic, atacatorii pot accesa conversațiile fără ca utilizatorul să își dea seama.

Și mai problematic este faptul că malware-ul își asigură persistența chiar și după un reset din fabrică. Acesta se instalează în partiții ale sistemului care nu sunt șterse în mod obișnuit, iar un mecanism de tip „watchdog” verifică periodic dacă toate componentele sunt active, reinstalându-le automat dacă este nevoie.

Deși aplicațiile infectate au fost eliminate între timp din Google Play, riscul rămâne pentru utilizatorii care le-au instalat deja. În astfel de cazuri, dispozitivul trebuie considerat compromis.

ASUS prezintă un ecosistem complet bazat pe AI la Computex 2026, de la infrastructură enterprise la laptopuri și roboți