Morten Lyhne Petersen
Ett rootkit gömde sig i städverktyg, fotogallerier och spel som såg fullständigt harmlösa ut.
Skadeprogrammet, döpt till NoVoice, har distribuerats via fler än 50 appar på Google Play Store och laddats ner minst 2,3 miljoner gånger. Upptäckten gjordes av forskare vid säkerhetsföretaget McAfee och rapporterades av Bleeping Computer. Apparna gjorde precis vad de utlovade, men i bakgrunden försökte de ta kontroll över hela telefonen.
Smartphone-användare i Sverige har ofta dussintals appar installerade som sällan öppnas. Varje sovande app är en potentiell ingång för den här typen av angrepp, eftersom NoVoice fungerar oavsett om en infekterad app öppnas på nytt eller bara ligger kvar i bakgrunden.
Använder gamla säkerhetshål för att ta över systemet
NoVoice är ett rootkit, en typ av skadlig kod som gräver sig ner i operativsystemet och döljer sig för både användaren och vanliga skyddsverktyg. När en infekterad app startas börjar koden tyst söka efter sårbarheter i telefonen.
McAfees forskare har dokumenterat 22 olika exploits, skriver TechRadar, bland annat buggar i Linux-kärnan och fel i drivrutinen för Mali-grafikkort. Samtliga säkerhetshål åtgärdades av Google någon gång mellan 2016 och 2021. Telefoner med en säkerhetsuppdatering från maj 2021 eller senare ska därför vara skyddade, medan mobiler som inte uppdaterats på flera år är direkta måltavlor.
Överlever fabriksåterställning
Det som gör NoVoice ovanligt allvarligt är hur djupt rootkitet förankrar sig. Återställningsskript ersätter telefonens vanliga felhanterare, reservpaket av skadlig kod sparas på systempartitionen och ett övervakningsprogram kontrollerar var 60:e sekund att alla delar är på plats.
Tas en komponent bort återinstalleras den automatiskt. Misslyckas reparationen tvingar rootkitet telefonen att starta om, varpå en ny infektion läggs ovanpå den gamla. En standardiserad fabriksåterställning räcker därför inte för att bli av med skadeprogrammet på en redan smittad enhet.
Klonar WhatsApp-konton
Bland de tydligaste målen finns WhatsApp. Skadeprogrammet samlar in den information som krävs för att kopiera offrets aktiva session, vilket gör det möjligt för angriparna att efterlikna kontot på en egen enhet.
De flesta infektionerna har upptäckts i Nigeria, Etiopien, Algeriet, Indien och Kenya, länder där äldre Androidmodeller utan säkerhetsuppdateringar är vanliga. Problemet är inte begränsat till dessa marknader: drygt 30 procent av aktiva Androidenheter globalt kör Android 13 eller äldre, vilket enligt en analys från Remio motsvarar omkring en miljard enheter utan moderna försvarsmekanismer.
Så minskar du risken
Google har plockat bort de identifierade apparna från Play Store och stängt utvecklarkontona. Bolaget uppger att Google Play Protect automatiskt avinstallerar apparna från drabbade enheter och blockerar nya installationer.
För den som har en äldre Android-telefon utan färska säkerhetsuppdateringar är rekommendationen tydlig: gå igenom installerade appar och radera de som inte används, undvik appar från utvecklare utan dokumenterad historik och fundera på att byta till en modell som fortfarande får säkerhetsuppdateringar. För användare som installerat någon av de identifierade apparna bör enheten betraktas som komprometterad.
