新しいAndroidマルウェア「**NoVoice**」が**Google Play**で発見され、230万回以上ダウンロードされた50以上のアプリに潜伏していました。 悪意のあるペイロードを運んでいたアプリには、クリーナー、画像ギャラリー、ゲームなどが含まれていました。これらのアプリは不審な権限を要求せず、約束された機能を提供していました。 感染したアプリを起動した後、マルウェアは2016年から2021年の間にパッチが適用された古いAndroidの脆弱性を悪用して、デバイスのrootアクセスを取得しようとしました。 サイバーセキュリティ企業**McAfee**の研究者がNoVoiceの活動を発見しましたが、特定の攻撃者との関連性を特定することはできませんでした。しかし、マルウェアが**Triada** Androidトロイの木馬と類似性があることを指摘しました。  ### NoVoiceの感染チェーン **McAfee**の研究者によると、攻撃者は悪意のあるコンポーネントを*com.facebook.utils*パッケージに隠し、正規の**Facebook** SDKクラスと混在させていました。 PNG画像ファイル内にステガノグラフィーを使用して隠された暗号化されたペイロード（enc.apk）は抽出され（h.apk）、中間ファイルをすべて消去して痕跡をなくしながら、システムメモリにロードされます。 **McAfee**は、攻撃者が中国の北京や深圳などの特定の地域のデバイスへの感染を回避し、エミュレータ、デバッガ、VPNに対して15回のチェックを実装していると述べています。位置情報権限が利用できない場合でも、マルウェアは感染チェーンを継続します。  その後、マルウェアはコマンドアンドコントロール（C2）サーバーに連絡し、ハードウェアの詳細、カーネルバージョン、Androidバージョン（およびパッチレベル）、インストールされているアプリ、rootステータスなどのデバイス情報を収集して、exploit戦略を決定します。 次に、マルウェアは60秒ごとにC2に問い合わせ、被害者のシステムをroot化するために設計されたデバイス固有のexploit用のさまざまなコンポーネントをダウンロードします。 研究者たちは、配信段階から注入段階までの感染チェーンのマッピングを作成しました。  **McAfee**は、use-after-freeカーネルバグやMali GPUドライバーの欠陥を含む22件のexploitを確認したと述べています。これらのexploitは、オペレーターにrootシェルを提供し、デバイス上のSELinux強制を無効にすることを可能にし、事実上その基本的なセキュリティ保護を解除します。 デバイスをroot化した後、*libandroid_runtime.so*や*libmedia_jni.so*などの主要なシステムライブラリは、システムコールをインターセプトして実行を攻撃コードにリダイレクトするフックされたラッパーに置き換えられます。 rootkitは、リカバリスクリプトのインストール、システムクラッシュハンドラをrootkitローダーに置き換えること、システムパーティションにフォールバックペイロードを保存することなど、複数の永続化レイヤーを確立します。 デバイスのストレージのその部分は工場出荷時リセット中に消去されないため、マルウェアは積極的なクリーンアップの後でも持続します。 ウォッチャード（watchdog daemon）は60秒ごとに実行され、rootkitの整合性をチェックし、欠落しているコンポーネントを自動的に再インストールします。チェックが失敗した場合、デバイスを強制的に再起動させ、rootkitを再ロードさせます。 ### WhatsAppデータの窃取 ポストエクスプロイテーションフェーズ中、攻撃者が制御するコードは、デバイス上で起動されるすべてのアプリに注入されます。2つの主要なコンポーネントが展開されます。1つはアプリのサイレントインストールまたは削除を可能にし、もう1つはインターネットアクセスを持つ任意のアプリ内で動作します。 後者は主要なデータ窃取メカニズムとして機能し、**McAfee**は主に**WhatsApp**メッセージングアプリを標的にしていたことを確認しました。 感染したデバイスで**WhatsApp**が起動されると、マルウェアは、暗号化データベース、Signalプロトコルキー、電話番号や**Google Drive**バックアップの詳細などのアカウント識別子を含む、被害者のセッションを複製するために必要な機密データを抽出します。 この情報はその後C2に送信され、攻撃者は被害者のWhatsAppセッションを自分のデバイスにクローンできるようになります。  研究者たちは、**WhatsApp**に焦点を当てたペイロードのみを回収したものの、**NoVoice**のモジュラー設計により、デバイス上の任意のアプリケーションを標的とする他のペイロードを使用することが技術的に可能であったと指摘しています。 **McAfee**（App Defense Allianceのメンバー）が**Google**に報告した後、**NoVoice**ペイロードを運ぶ悪意のあるAndroidアプリケーションは**Google Play**から削除されました。 しかし、以前にそれらをインストールしたユーザーは、デバイスとデータが侵害されたと見なすべきです。 **NoVoice**は2021年5月までの脆弱性を標的としているため、より新しいセキュリティパッチを実行しているデバイスにアップグレードすることで、現在の形式でのこの脅威を効果的に軽減できます。 Androidユーザーは、積極的にサポートされているモデルにアップグレードし、**Google Play**上であっても、信頼できる有名な発行元のアプリのみをインストールすることが推奨されます。