كشف باحثو McAfee Labs عن برمجية خبيثة جديدة تُعرف باسم NoVoice، جرى توزيعها عبر أكثر من 50 تطبيقًا على متجر غوغل بلاي، حيث تجاوز عدد مرات تحميلها 2.3 مليون مرة. هذه التطبيقات كانت تتظاهر بأنها أدوات مساعدة، معارض صور، أو ألعاب، وتقدم وظائفها المعلنة بالفعل، لكنها في الخلفية تحاول الحصول على صلاحيات الجذر (Root) عبر استغلال 22 ثغرة أمنية في نظام أندرويد تم ترقيعها بين عامي 2016 و2021. نجاح الاستغلال يمنح المهاجمين سيطرة كاملة على الجهاز، ما يتيح لهم حقن أي تطبيق يُفتح بشيفرة خبيثة وسرقة بياناته.
خصائص البرمجية وتقنيات التهرب
البرمجية تتجنب إصابة الأجهزة في بعض المناطق مثل بكين وشينزن في الصين، كما تنفذ أكثر من عشرة فحوصات للتأكد من عدم تشغيلها في بيئات افتراضية مثل المحاكيات أو أدوات التصحيح أو عبر شبكات VPN. بعد ذلك، تتصل بخادم بعيد لإرسال معلومات الجهاز وجلب الاستغلال المناسب للحصول على صلاحيات الجذر وتعطيل نظام الحماية SELinux. بمجرد الحصول على هذه الصلاحيات، يقوم الجذر الخبيث بتعديل مكتبات النظام لتسهيل تنفيذ الشيفرة الضارة عند فتح تطبيقات محددة، إضافة إلى تثبيت تطبيقات عشوائية وضمان الاستمرارية.
استهداف تطبيقات شهيرة وتشابه مع Triada
من بين التطبيقات المستهدفة كان تطبيق واتساب، حيث تمكنت البرمجية من جمع بيانات المستخدمين فور تشغيل التطبيق. هذا السلوك يعكس تشابهًا مع برمجية Triada الشهيرة، التي كانت تُعرف بقدرتها على التسلل إلى النظام على مستوى عميق. NoVoice تستخدم تقنيات مشابهة، لكنها أكثر تطورًا من حيث استغلال الثغرات القديمة وتوظيفها في بيئات حديثة.
حجم الإصابات والمناطق الأكثر تضررًا
رغم أن غوغل أزالت التطبيقات المصابة من متجرها، إلا أن الإصابات كانت واسعة النطاق، حيث سُجلت أعلى معدلات انتشار في دول مثل نيجيريا، إثيوبيا، الجزائر، الهند، وكينيا. هذا الانتشار يعكس استهدافًا لمناطق ذات كثافة استخدام عالية لتطبيقات أندرويد، مع احتمالية أن يكون المهاجمون قد ركزوا على أسواق ناشئة حيث يقل وعي المستخدمين بالمخاطر الأمنية.
