Malware NoVoice infecta Android por aplicativos da Play Store, rouba dados do WhatsApp e persiste mesmo após reset
Um novo malware para Android, denominado NoVoice, foi descoberto na Google Play, disfarçado em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos afetados incluem limpadores, galerias de imagens e jogos, todos aparentando funcionalidades legítimas sem solicitar permissões suspeitas.
Após a instalação, o malware tentava obter acesso root ao dispositivo, explorando vulnerabilidades que foram corrigidas entre 2016 e 2021. A operação NoVoice foi identificada por pesquisadores da McAfee, que notaram similaridades com o trojan Triada, embora não tenham conseguido associá-la a um agente de ameaças específico.
O malware ocultou componentes maliciosos dentro do pacote com.facebook.utils, integrando-os às classes legítimas do SDK do Facebook. Ele utiliza esteganografia para esconder uma carga útil criptografada em um arquivo de imagem PNG, que acaba sendo extraída e carregada na memória do sistema, apagando outros arquivos para eliminar rastros.
A equipe da McAfee também constatou que o agente de ameaças evitava infectar dispositivos em regiões específicas, como Pequim e Shenzhen, na China. O malware implementou várias verificações para detectar emuladores, depuradores e VPNs. Mesmo que a permissão de localização não esteja disponível, a infecção ainda prossegue.
A cada 60 segundos, o malware consulta um servidor de comando e controle (C2) para baixar componentes adicionais que exploram falhas específicas do dispositivo, com o objetivo de obter acesso root. A pesquisa revelou a presença de 22 exploits, que oferecem aos operadores controle privilegiado e permitem que eles desativem as proteções de segurança do SELinux.
Após obter acesso root, o malware altera bibliotecas cruciais do sistema, interceptando chamadas e redirecionando a execução para o código malicioso. Ele estabelece múltiplas camadas de persistência, instalando scripts de recuperação e substituindo manipuladores de falhas do sistema.
Durante a fase pós-exploração, um código controlado pelo invasor é injetado em todos os aplicativos em execução, permitindo a instalação ou remoção silenciosa de aplicativos. Um dos principais alvos do malware é o WhatsApp, de onde extrai dados confidenciais necessários para replicar a sessão da vítima. Isso inclui bancos de dados de criptografia, chaves de protocolo e identificadores de conta.
Os pesquisadores observaram que, embora tenham encontrado apenas um tipo de carga útil focada no WhatsApp, o design modular do NoVoice permite a utilização de outras cargas em diferentes aplicativos do dispositivo. Após os alertas da McAfee, os aplicativos infectados foram removidos da Google Play. No entanto, aqueles que os instalaram devem considerar seus dispositivos potencialmente comprometidos.
Para se proteger, é fundamental que os usuários atualizem para dispositivos com patches de segurança recentes e instalem apenas aplicativos de desenvolvedores confiáveis. Acompanhe o TecMania para mais atualizações sobre segurança e tecnologia, e inscreva-se em nossa newsletter e canal do YouTube.