Jeśli pobieram aplikacje tylko z oficjalnego sklepu, jestem bezpieczny... Niestety, jak pokazuje ten przypadek związany z oprogramowaniem NoVoice, ta zasada przestaje obowiązywać. W ciągu ostatnich miesięcy cyberprzestępcy zdołali przeprowadzić jedną z najbardziej podstępnych operacji w historii systemu Android, infekując ponad 2,3 miliona urządzeń na całym świecie poprzez aplikacje dostępne w oficjalnym sklepie Google Play.
NoVoice to zaawansowane oprogramowanie szpiegujące (malware), które zostało ukryte w ponad 50 różnych aplikacjach dostępnych w Google Play. Te aplikacje nie wyglądały podejrzanie. Przeciwnie, często działały dokładnie tak, jak obiecywały. Były to na przykład narzędzia do czyszczenia telefonu, galerie zdjęć czy proste gry. To właśnie ta „normalność” była największym zagrożeniem, a użytkownik nie miał powodu, by podejrzewać, że coś jest nie tak.
W przeciwieństwie do wielu wcześniejszych wirusów, NoVoice nie prosił o podejrzane uprawnienia. Nie wyświetlał dziwnych komunikatów, nie spowalniał telefonu w oczywisty sposób. Działał po cichu i stąd jego nazwa. Zamiast tego wykorzystywał znane luki w zabezpieczeniach systemu Android, szczególnie w starszych wersjach oprogramowania, aby uzyskać tzw. dostęp root, czyli pełną kontrolę nad urządzeniem.
Dla przeciętnego użytkownika oznacza to jedno - ktoś obcy może mieć niemal nieograniczony dostęp do telefonu, zdjęć, wiadomości, kontaktów, a nawet aplikacji bankowych. Po zainstalowaniu zainfekowanej aplikacji NoVoice rozpoczynała się analiza urządzenia. Zbierała informacje o modelu telefonu, wersji systemu, zainstalowanych aplikacjach i poziomie zabezpieczeń. Następnie łączyła się z serwerem kontrolowanym przez cyberprzestępców, który decydował, jaki „atak drugiego etapu” zostanie przeprowadzony.
To, co czyni tę operację szczególnie groźną, to jej elastyczność. Malware nie działał w identyczny sposób na każdym urządzeniu. Dostosowywał się do ofiary. W praktyce oznacza to, że dwie osoby mogły mieć tę samą aplikację, ale skutki infekcji były zupełnie inne.
Jednym z najbardziej niepokojących elementów NoVoice jest jego trwałość. W niektórych przypadkach potrafił przetrwać nawet przywrócenie ustawień fabrycznych telefonu. To oznacza, że standardowa metoda „resetu”, często polecana jako ostateczne rozwiązanie, może nie wystarczyć. Dzieje się tak dlatego, że złośliwe oprogramowanie ingeruje w głębsze warstwy systemu, które nie są nadpisywane podczas zwykłego resetu. W praktyce przypomina to sytuację, w której ktoś ukrył się nie w mieszkaniu, ale w fundamentach budynku.
Co więcej, NoVoice potrafi wstrzykiwać własny kod do innych aplikacji uruchamianych na telefonie. Oznacza to, że nawet zaufane programy, takie jak komunikatory czy aplikacje bankowe, mogą zostać przejęte. Szczególnym celem były komunikatory, gdzie możliwe było przechwytywanie wiadomości, a nawet podszywanie się pod użytkownika.
Wyobraźmy sobie sytuację, że ktoś z naszych kontaktów dostaje wiadomość „od nas”, z prośbą o pilną pomoc finansową. W rzeczywistości to cyberprzestępca korzysta z przejętej sesji.
Kto jest najbardziej narażony? Przede wszystkim użytkownicy starszych telefonów lub takich, które nie otrzymują już aktualizacji bezpieczeństwa. NoVoice wykorzystuje luki, które zostały załatane nawet kilka lat temu, ale tylko w nowszych wersjach systemu. To ważna informacja szczególnie dla osób, które korzystają z urządzeń kupionych kilka lat temu i nie aktualizują ich regularnie.
Dobrą wiadomością jest to, że Google usunęło już zainfekowane aplikacje ze swojego sklepu. Złą, że jeśli ktoś zdążył je zainstalować wcześniej, zagrożenie nadal istnieje na jego urządzeniu.
Jak więc sprawdzić, czy jesteśmy zagrożeni? Przede wszystkim warto przejrzeć listę zainstalowanych aplikacji i zastanowić się, czy wszystkie są nam znane. Jeśli widzimy program, którego nie pamiętamy to pierwszy sygnał ostrzegawczy. Warto też zwrócić uwagę na aplikacje typu „cleaner”, „booster”, „gallery” czy proste gry - to właśnie w takich kategoriach ukrywał się NoVoice. Jeśli podejrzewamy infekcję, pierwszym krokiem jest usunięcie podejrzanej aplikacji. Jednak, co to bardzo ważne, w przypadku NoVoice może to nie wystarczyć.
Eksperci wskazują, że w poważniejszych przypadkach konieczne może być ponowne wgranie oprogramowania systemowego telefonu, tzw. firmware. To proces bardziej skomplikowany, który często wymaga pomocy specjalisty lub serwisu. W praktyce oznacza to, że jeśli telefon jest starszy i został zainfekowany, czasem najbezpieczniejszym rozwiązaniem jest po prostu jego wymiana. To może brzmieć radykalnie, ale w kontekście ochrony danych jest to decyzja w pełni uzasadniona.
Co zrobić, jeśli podejrzewamy, że nasze dane mogły zostać przejęte? Przede wszystkim należy zmienić hasła do poczty, banku, mediów społecznościowych. Najlepiej zrobić to z innego, niezainfekowanego urządzenia. Warto również włączyć uwierzytelnianie dwuskładnikowe (tzw. 2FA), jeśli jeszcze tego nie zrobiliśmy. To dodatkowa warstwa ochrony, która może uchronić nas przed przejęciem konta, nawet jeśli ktoś pozna nasze hasło.
Adrian Pluta
E-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
