"Play Market'te, 2,3 milyon kullanıcı tarafından indirilen zararlı NoVoice içeren onlarca uygulama bulundu."

Kısa Özeti

Google Play Market'te 50'den fazla *NoVoice* kötü amaçlı kodu içeren uygulama bulunmuştur.

- Virüs, Android'in (2016‑2021) bilinen açıklarını kullanarak root hakları elde eder.
- İndirilen sayısı 2,3 milyondan fazladır.
- Uygulamalar fotoğraf galerileri, oyunlar ve “temizleme” yardımcı programları gibi görünür; şüpheli izin gerektirmezler.

McAfee uzmanları tehdidin varlığını doğrulamış ancak belirli bir saldırganı tanımlayamamıştır; virüs *Triada* trojanına benzer.

NoVoice Nasıl Çalışır
Aşama Ne Olur Enfeksiyon Kötü Amaçlı Kod, `com.facebook✴.utils` paketine yerleştirilir ve Facebook SDK'sı gibi taklit edilir. Şifrelenmiş yük (`enc.apk`) PNG görüntüsünün içinde gizlidir; bu görüntüden `h.apk` dosyası çıkarılır ve bellek içine yüklenir. Daha sonra tüm geçici dosyalar silinir.
Enfeksiyon Koşulu Cihaz, Pekin veya Shenzhen (Çin) olarak tanımlanırsa ve 15 emülatör, debugger ve VPN kontrolünden geçerse süreç durur; aksi takdirde devam eder.
Bilgi Toplama Kötü amaçlı program, uzaktaki sunucu ile bağlantı kurar ve çekirdek sürümü, Android sürümü, yüklü uygulama listesi, root durumu gibi bilgileri gönderir. İstekler her 60 saniyede bir tekrarlanır.
Saldırı Noktaları McAfee, 22 saldırı noktasını (çekirdek hataları, bellek sızıntıları, Mali sürücüsü açıkları) tespit etti. Bunlar root kabuğunu açar ve SELinux'u devre dışı bırakır.
Kalıcı Varlık Root elde edildikten sonra kötü amaçlı program, `libandroid_runtime.so` ve `libmedia_jni.so` sistem kütüphanelerini değiştirir, kurtarma betikleri oluşturur, hata yakalayıcıyı değiştirir ve yedek yükü sistem bölgesinde saklar (sıfırlama sırasında silinmez). Her 60 saniyede bir koruma demon'u çalıştırılır ve rootkiti bütünlüğü kontrol edilir.
Fonksiyonel Modüller
1) Gizli uygulama kurma/çıkarma.
2) Herhangi bir internet uygulamasına bağlanma ve veri çalma (çoğunlukla WhatsApp). Mesajlaşma uygulaması açıldığında kötü amaçlı program, veritabanlarını, şifreleme anahtarlarını, telefon numarasını ve Google Drive'daki yedekleri alır ve yönetim sunucusuna gönderir. Bu, saldırganların WhatsApp oturumlarını klonlamasına izin verir.
Modülerlik Virüs, cihazdaki herhangi bir uygulama için başka yükler kullanabilir.

Koruma
- 2021 Mayıs'ından sonra güncellenen cihazlar artık savunmasız değildir; açıklar kapatılmıştır.
- Google Play Protect, bulunan uygulamaları otomatik olarak siler ve yeni kurulumları engeller.
- Kullanıcıların tüm güvenlik güncellemelerini düzenli olarak yüklemeleri önerilir.

Sonuç: *NoVoice*, eski Android açıklarını kullanarak root hakları elde eden, gizli enfeksiyon yapan ve popüler uygulamalardan veri çalan karmaşık bir rootkittir. Koruma yalnızca zamanında yamalar ve Play Protect kullanımıyla mümkündür.