Android 惡意軟件 NoVoice 感染數百萬裝置,潛伏應用程式商店
TL;DR
多階段感染與 22 個漏洞的深度利用
「無聲 (NoVoice)」隱藏根目錄工具(Rootkit)攻擊活動代表了一種極其複雜的威脅。該惡意程式成功繞過 Google Play 的安全過濾機制,潛伏在超過 50 個表面上無害的應用程式中。這些程式包括休閒遊戲、系統清理工具及相簿工具,其運作表現與用戶預期相符,以規避偵測。然而,在幕後,該惡意程式利用了包含 22 個不同漏洞的巨大庫來攻擊數百萬台裝置。根據 HotHardware 的報告,此 Rootkit 主要針對缺乏最新安全補丁的舊版 Android 系統。
為了防禦此類大規模的漏洞利用,用戶應優先考慮網絡安全並保持作業系統更新。NoVoice 的技術執行涉及在安裝初始「工具」應用程式後,傳送第二階段的惡意負載。該負載會執行漏洞利用鏈以獲取根目錄權限(Root Access),從而實際掌控裝置的管理功能。
WhatsApp 工作階段複製與數據竊取
NoVoice Rootkit 最令人擔憂的功能之一是其複製 WhatsApp 工作階段(Session)的能力。透過獲取根目錄權限,惡意程式可以訪問其他已安裝應用程式的私有數據資料夾。這使攻擊者能夠繞過標準的沙盒(Sandbox)保護機制,並提取敏感的工作階段令牌(Tokens)。正如 IT Security News 所指出,這種能力使數百萬用戶面臨身份盜用和私人通訊外洩的風險。
對於擔心流動裝置私隱的用戶,利用 SquirrelVPN 可以提供必要的防禦層,透過遮蔽流量並防止常用於輔助下載第二階段負載的中間人攻擊。該 Rootkit 的持久性是透過修改系統分區來實現的,這使得它在許多舊裝置上即使經過標準的恢復原廠設定也無法被清除。
持久化機制與技術深度剖析
NoVoice Rootkit 採用了多層次的持久化策略。一旦透過該 22 個已知缺陷獲得根目錄權限,它就會將自己安裝到通常為唯讀狀態的 /system 目錄中。這確保了即使原始惡意應用程式從 Android 應用程式清單中被刪除,核心 Rootkit 仍會保持活躍。來自 Google 新聞 聚合器的詳細分析強調,該惡意程式經常將其設定檔案隱藏在看似無害的縮圖中,以逃避簡單的檔案系統掃描程式。
關於漏洞利用鏈的技術細節顯示,該 Rootkit 針對的是 Linux 核心及特定硬件驅動程式中的漏洞。這種級別的訪問權限允許惡意程式:
- 監控所有傳入和傳出的網絡封包。
- 透過自定義輸入法編譯器(IME)攔截按鍵記錄。
- 阻止安裝防毒軟件或安全更新。
為了應對這些深層威脅,了解虛擬專用網絡(VPN)技術以及加密隧道如何在裝置本地網絡受損時保護數據至關重要。互聯網服務供應商(ISP)的深度封包檢測或政府監控,都可以透過使用 NoVoice 難以解密的強大隧道協議來緩解。
緊貼最新的網絡安全威脅資訊,並透過 SquirrelVPN 的最新見解保護您的數碼足跡。立即探索我們的尖端工具和服務,提升您的網絡私隱保障。
