اكتشفت حملة برمجيات خبيثة خطيرة تُعرف باسم NoVoice، تتخفى داخل أكثر من 50 تطبيقًا على متجر Google Play، مما أثر على ما لا يقل عن 2.3 مليون جهاز أندرويد حول العالم. تستخدم هذه البرمجية الخبيثة، التي تم تتبعها تحت اسم Operation NoVoice، 22 ثغرة استغلالية للسيطرة الكاملة على الجهاز دون إثارة أي تنبيهات، مما يجعلها واحدة من أخطر التهديدات التي تم اكتشافها مؤخرًا.
تبدو التطبيقات التي تحتوي على NoVoice في ظاهرها بريئة تمامًا، حيث تتضمن أدوات بسيطة مثل منظفات الهواتف، وتطبيقات المعرض، وألعاب عادية. بمجرد فتح التطبيق، يعمل كما هو متوقع دون أي نوافذ منبثقة، أو طلبات أذونات غير عادية، أو علامات واضحة على وجود مشكلة.
ومع ذلك، خلف هذا المظهر الطبيعي، كان التطبيق يتواصل بالفعل مع خادم عن بعد، ويرسم خريطة للجهاز ببرمجياته وأجهزته، ويجهز ثغرات استغلالية مستهدفة. يعود اسم البرمجية الخبيثة إلى ملف صوتي صامت، R.raw.novioce، تم تضمينه في إحدى الدفعات اللاحقة، والذي يتم تشغيله بحجم صفر للحفاظ على خدمة خلفية قيد التشغيل، مما يمنح المهاجمين موطئ قدم ثابت وهادئ.
خفايا عملية NoVoice وتأثيرها الواسع
يثير انتشار هذه الحملة القلق بشكل خاص، حيث تأكد وجود أكثر من 50 تطبيقًا خبيثًا على Google Play قبل إزالتها، وقد تم تنزيلها ما مجموعه 2.3 مليون مرة على الأقل. تأثر المستخدمون عبر قارات متعددة، مع أعلى معدلات الإصابة في نيجيريا وإثيوبيا والجزائر والهند وكينيا، وهي مناطق تنتشر فيها الأجهزة القديمة وغير المصححة بسهولة.
بعد الكشف عنها من قبل فريق أبحاث McAfee، قامت Google بإزالة جميع التطبيقات المحددة وحظر حسابات المطورين المرتبطة بها. ومع ذلك، فإن الأجهزة التي تحمل مستوى تصحيح الأمان لشهر مايو 2021 أو أحدث ليست عرضة للثغرات المستردة من خادم التحكم والسيطرة.
في المقابل، تظل الأجهزة القديمة التي تعمل بنظام Android 7 أو أقدم عرضة للخطر بشكل كبير، ولا يمكن إزالة هذه البرمجية الخبيثة عن طريق إعادة ضبط المصنع القياسية.
كيف تتجذر العدوى وتبقى مخفية
بمجرد قيام المستخدم بفتح أحد التطبيقات الحاملة للبرمجية الخبيثة، تبدأ العدوى دون أي تفاعل إضافي. يتم تشغيل الكود الخبيث، الذي تم حقنه في مسار تهيئة Facebook SDK للتطبيق، بصمت في الخلفية.
ينبعث من الملف مشفر يقبع بهدوء بعد علامة نهاية الصورة، وهي تقنية مصممة خصيصًا لتجاوز عمليات الفحص الأمني القياسية دون اكتشاف. قبل المتابعة، تقوم البرمجية الخبيثة بإجراء 15 فحصًا للتحقق، بما في ذلك اكتشاف المحاكيات، وتحديد الموقع الجغرافي بواسطة GPS، واستخدام VPN، ونشاط المصحح.
يتم استبعاد الأجهزة الموجودة فعليًا داخل بكين وشنتشن من الهجوم. إذا نجحت جميع الفحوصات، يتصل البرنامج الخبيث بخادم التحكم والسيطرة (C2) ويقوم بتنزيل ثغرات استغلالية جذرية مطابقة لشريحة معالجة الجهاز وإصدار النواة الخاص به.
تم استرداد ما مجموعه 22 ثغرة استغلالية، حيث نفذت إحداها هجوم نواة من ثلاث مراحل باستخدام ثغرة أمان إفلات استخدام IPv6، وثغرة أمان في برنامج تشغيل Mali GPU، وتصحيح بيانات الاعتماد لتعطيل حماية SELinux الخاصة بنظام Android بالكامل.
بمجرد الحصول على الوصول الجذري، تقوم البرمجية الخبيثة باستبدال مكتبة نظام أساسية، libandroid_runtime.so، بحيث يتم تشغيل كل تطبيق على الجهاز برمز يتحكم فيه المهاجم عند الإطلاق. ثم يقوم كلب حراسة بالتحقق من التثبيت كل 60 ثانية ويعيد تثبيت أي مكونات تمت إزالتها تلقائيًا.
كانت حمولة السرقة الوحيدة المؤكدة التي تم استردادها مصممة لاستنساخ جلسات WhatsApp عن طريق استخراج مفاتيح التشفير وبيانات الجلسة، على الرغم من أن الإطار مصمم لقبول وتنفيذ أي مهمة في أي وقت.
يجب على المستخدمين الذين يشتبهون في إصابتهم إجراء إعادة تثبيت كاملة للبرنامج الثابت، حيث أن إعادة ضبط المصنع لن تزيل هذه البرمجية الخبيثة من قسم النظام. يقلل تحديث الأجهزة إلى مستوى تصحيح الأمان لشهر مايو 2021 على الأقل من التعرض لثغرات الاستغلال المعروفة المستخدمة في هذه الحملة. يمكن أن يؤدي حظر نطاقات C2 المعروفة على مستوى الشبكة إلى تعطيل سلسلة العدوى في مراحل متعددة.
يجب على المستخدمين تنزيل التطبيقات فقط من مطورين موثوقين وذوي تقييمات عالية، وتوخي الحذر عند استخدام تطبيقات الأدوات والألعاب.