Android-вредонос NoVoice заразил не менее 2,3 млн устройств через Google Play
В Google Play обнаружена масштабная кампания распространения Android-вредоноса NoVoice, скрытого в десятках приложений и затронувшего не менее 2,3 млн загрузок. Вредонос использовался для получения полного контроля над устройствами, включая внедрение кода в приложения и кражу пользовательских данных. Инцидент показывает, что даже официальный магазин приложений не гарантирует безопасность, особенно для устройств без актуальных обновлений.
Об обнаружении кампании Operation NoVoice сообщили исследователи McAfee 31 марта 2026 года. Зараженные приложения из Google Play суммарно были загружены не менее 2,3 млн раз.
Вредоносный код скрывался более чем в 50 приложениях — среди них утилиты очистки, фотогалереи и игры. Программы работали как заявлено и не требовали подозрительных разрешений, что позволяло им долго обходить проверки и не вызывать подозрений.
После запуска приложение связывалось с управляющей инфраструктурой и собирало данные об устройстве, включая версию Android и уровень обновлений безопасности. На основе этих данных подбирался набор эксплойтов, адаптированных под конкретную конфигурацию устройства.
Атака опиралась на уязвимости Android, исправленные в 2016–2021 годах, поэтому основной целью становились устаревшие или не обновленные устройства. При успешной эксплуатации злоумышленники получали root-доступ, что фактически означало полный контроль над системой.
Получив привилегии, вредонос внедрял код в системные компоненты и перехватывал выполнение приложений. Это позволяло запускать вредоносный код внутри любых программ и обходить встроенные механизмы защиты.
Для закрепления использовались механизмы уровня системы: подмена библиотек, установка дополнительных компонентов и контроль целостности. В ряде случаев заражение сохранялось даже после сброса устройства, поскольку вредонос размещался в разделах, не очищаемых при стандартном восстановлении.
На этапе постэксплуатации зафиксирована кража данных из мессенджеров. В частности, вредонос извлекал данные, позволяющие воспроизвести сессию WhatsApp — включая базы сообщений, криптографические ключи и идентификаторы аккаунта.
По данным анализа, представленного исследователями, в кампании использовалось не менее 22 эксплойтов, включая уязвимости уровня ядра и драйверов GPU. Также применялись методы сокрытия — от стеганографии до проверки среды выполнения (эмуляторы, VPN, отладка).
После раскрытия кампании зараженные приложения были удалены из Google Play, а связанные аккаунты разработчиков — заблокированы. При этом пользователям, установившим такие приложения, рекомендуется считать устройства скомпрометированными и обновить систему.
Инцидент продолжает серию атак на Android-устройства, о которых ранее писал SecPost. Так, обновленная версия трояна Falcon затронула более 10 тыс. устройств в России, а вредоносы, включая PixRevolution, нацелены на банковские приложения и криптокошельки. Распространение через поддельные сервисы и APK-файлы также фиксировалось в других кампаниях, а трояны вроде Pulsar SMS Stealer маскировались под фотогалереи и перехватывали коды 2FA.
Читайте также
