NoVoice: malware Android no Google Play infectou 2,3 milhões e vira rootkit persistente

Uma operação de malware para Android batizada de NoVoice foi descoberta em mais de 50 apps publicados na Google Play, somando pelo menos 2,3 milhões de downloads. Segundo a investigação, o código malicioso explorava vulnerabilidades antigas (corrigidas entre 2016 e 2021) para obter root e transformar o dispositivo em um rootkit persistente — com impacto real para aparelhos desatualizados.

O que aconteceu

O NoVoice foi distribuído em apps aparentemente inofensivos (limpadores, galerias e jogos), que funcionavam “normalmente” e não exigiam permissões suspeitas. Após a instalação, o malware tentava elevar privilégios e injetar componentes persistentes no sistema, o que dá ao atacante controle profundo do aparelho.

Como a campanha funciona (em alto nível)

• App “normal” → backdoor: o usuário instala e usa o app sem notar nada anormal.
• Checagens do dispositivo: o malware coleta dados do aparelho (versão do Android, patch level, hardware) para escolher o exploit adequado.
• Root via falhas antigas: explora vulnerabilidades corrigidas até 2021 para obter acesso privilegiado.
• Carga escondida: payloads são ofuscados (inclusive dentro de arquivo PNG) e carregados na memória, com limpeza de rastros.
• Persistência “rootkit”: componentes críticos do sistema são alterados para manter o controle mesmo após reinicializações.

Por que isso é sério

Com root ativo, o NoVoice consegue operar abaixo da camada de segurança do Android, interceptar chamadas do sistema e injetar código dentro de outros apps. Segundo a análise, um foco específico foi o WhatsApp: o malware extrai dados sensíveis (bancos de dados, chaves e identificadores) para clonar sessões em outro dispositivo.

• Persistência agressiva: em dispositivos vulneráveis, a infecção pode sobreviver a um factory reset.
• Roubo silencioso: componentes são carregados dinamicamente e operam “por baixo” dos apps.
• Alcance em massa: a campanha ficou meses na Play Store antes da remoção.

Contexto adicional: o que a pesquisa da McAfee aponta

A McAfee batizou a operação de Operation NoVoice e descreve a ameaça como um rootkit móvel com forte capacidade de persistência. Em aparelhos desatualizados, a infecção pode permanecer ativa mesmo após reset, exigindo reinstalação completa do firmware para remoção total.

Impacto para usuários e empresas

• BYOD em risco: dispositivos pessoais desatualizados podem virar ponto de entrada para dados corporativos.
• Apps legítimos ≠ apps seguros: a Play Store reduz risco, mas não elimina.
• Patch management importa: ataques que exploram falhas antigas seguem lucrativos.

Como se proteger (sem drama, com prática)

• Atualize o Android: o ataque mira falhas antigas já corrigidas.
• Revise apps instalados: remova ferramentas “genéricas” que você não usa.
• Verifique o desenvolvedor: nomes genéricos e histórico vazio são bandeiras vermelhas.
• Ative o Play Protect: ele ajuda a remover apps maliciosos após detecção.
• Considere troca de aparelho: modelos fora de suporte são o alvo preferido.

Em resumo: NoVoice mostra que campanhas antigas ainda funcionam quando o ecossistema permanece desatualizado. A Play Store não é terra sem lei, mas patch atrasado continua sendo a brecha favorita.

Fonte: https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/