Categories: AMEAÇAS ATUAIS

NoVoice: malware Android no Google Play infectou 2,3 milhões e vira rootkit persistente

Uma operação de malware para Android batizada de NoVoice foi descoberta em mais de 50 apps publicados na Google Play, somando pelo menos 2,3 milhões de downloads. Segundo a investigação, o código malicioso explorava vulnerabilidades antigas (corrigidas entre 2016 e 2021) para obter root e transformar o dispositivo em um rootkit persistente — com impacto real para aparelhos desatualizados.

O que aconteceu

O NoVoice foi distribuído em apps aparentemente inofensivos (limpadores, galerias e jogos), que funcionavam “normalmente” e não exigiam permissões suspeitas. Após a instalação, o malware tentava elevar privilégios e injetar componentes persistentes no sistema, o que dá ao atacante controle profundo do aparelho.

Como a campanha funciona (em alto nível)

  • App “normal” → backdoor: o usuário instala e usa o app sem notar nada anormal.
  • Checagens do dispositivo: o malware coleta dados do aparelho (versão do Android, patch level, hardware) para escolher o exploit adequado.
  • Root via falhas antigas: explora vulnerabilidades corrigidas até 2021 para obter acesso privilegiado.
  • Carga escondida: payloads são ofuscados (inclusive dentro de arquivo PNG) e carregados na memória, com limpeza de rastros.
  • Persistência “rootkit”: componentes críticos do sistema são alterados para manter o controle mesmo após reinicializações.

Por que isso é sério

Com root ativo, o NoVoice consegue operar abaixo da camada de segurança do Android, interceptar chamadas do sistema e injetar código dentro de outros apps. Segundo a análise, um foco específico foi o WhatsApp: o malware extrai dados sensíveis (bancos de dados, chaves e identificadores) para clonar sessões em outro dispositivo.

  • Persistência agressiva: em dispositivos vulneráveis, a infecção pode sobreviver a um factory reset.
  • Roubo silencioso: componentes são carregados dinamicamente e operam “por baixo” dos apps.
  • Alcance em massa: a campanha ficou meses na Play Store antes da remoção.

Contexto adicional: o que a pesquisa da McAfee aponta

A McAfee batizou a operação de Operation NoVoice e descreve a ameaça como um rootkit móvel com forte capacidade de persistência. Em aparelhos desatualizados, a infecção pode permanecer ativa mesmo após reset, exigindo reinstalação completa do firmware para remoção total.

Impacto para usuários e empresas

  • BYOD em risco: dispositivos pessoais desatualizados podem virar ponto de entrada para dados corporativos.
  • Apps legítimos ≠ apps seguros: a Play Store reduz risco, mas não elimina.
  • Patch management importa: ataques que exploram falhas antigas seguem lucrativos.

Como se proteger (sem drama, com prática)

  • Atualize o Android: o ataque mira falhas antigas já corrigidas.
  • Revise apps instalados: remova ferramentas “genéricas” que você não usa.
  • Verifique o desenvolvedor: nomes genéricos e histórico vazio são bandeiras vermelhas.
  • Ative o Play Protect: ele ajuda a remover apps maliciosos após detecção.
  • Considere troca de aparelho: modelos fora de suporte são o alvo preferido.

Em resumo: NoVoice mostra que campanhas antigas ainda funcionam quando o ecossistema permanece desatualizado. A Play Store não é terra sem lei, mas patch atrasado continua sendo a brecha favorita.

Fonte: https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/

TheNinja

Recent Posts

GhostApproval: symlink de 30 anos engana Claude Code, Cursor, Amazon Q e Windsurf para roubar segredos do desenvolvedor

Pesquisa da Wiz mostra que Claude Code, Amazon Q, Cursor, Google Antigravity, Augment e Windsurf…

8 minutos ago

UE lanca plano de ciberseguranca e IA com nove medidas e AI Act com poder de retirar modelos do mercado em 2 de agosto

Bruxelas admite que 70% da nuvem europeia esta em maos estrangeiras e responde com nove…

9 minutos ago

GodDamn ransomware usa driver PoisonX para cegar EDR e ja rodou em 10 hosts antes da detecao

Nova familia GodDamn, rebrand de Beast/Monster, chega com driver kernel PoisonX que silencia EDRs. Symantec…

11 minutos ago

ROMA: framework open-source para agentes recursivos multi-agente ganha 1,75x com GEPA+ e vira novo padrão de arquitetura

ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…

4 horas ago

Google DeepMind Co-Scientist chega à Nature e ao Gemini for Science: caso C2S-Scale valida hipótese oncológica com Yale

Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…

4 horas ago