NoVoice no Google Play: malware com rootkit infectou 2,3 milhões e mira Androids desatualizados

Uma campanha batizada de Operation NoVoice colocou mais de 50 apps maliciosos no Google Play e acumulou ao menos 2,3 milhões de downloads. O diferencial aqui não é só o volume — é o nível de controle: o malware tenta ganhar root em aparelhos desatualizados e instala um rootkit capaz de persistir até após reset de fábrica.

O que aconteceu

Segundo o BleepingComputer, os apps se passavam por utilitários comuns (limpadores, galerias, jogos) e funcionavam “normalmente”, sem pedir permissões suspeitas. Após a instalação, o payload ativava uma cadeia de exploração de falhas antigas do Android (2016–2021) para escalar privilégios e modificar componentes críticos do sistema.

Como a infecção funciona

• Distribuição silenciosa: apps aparentemente legítimos, com funções reais, entregavam o payload.
• Coleta e seleção de exploit: o malware consulta o C2, envia dados do aparelho e recebe o exploit adequado para aquele modelo/patch level.
• Root e persistência: explorações de kernel e drivers (incluindo GPU) dão acesso de administrador e permitem desativar o SELinux.
• Injeção em apps: bibliotecas do sistema são substituídas por versões “hookadas” que interceptam chamadas e injetam código em qualquer app aberto.
• Sobrevive a reset: componentes ficam em partições que não são apagadas no reset padrão.

Impacto e riscos práticos

O NoVoice foi observado roubando dados do WhatsApp (chaves do protocolo Signal, bancos criptografados e identificadores de conta) para clonar sessões. E isso é só a prova do conceito: com um rootkit ativo, qualquer app com rede pode virar alvo.

• Exfiltração de credenciais e tokens.
• Interferência em apps bancários e corporativos.
• Persistência invisível ao usuário — inclusive após reset.

Contexto: por que isso é preocupante

Campanhas móveis com rootkit não são novidade, mas o NoVoice combina escala (milhões de downloads) com técnicas avançadas como esteganografia em imagens PNG e verificação ativa de emuladores, VPN e depuração. Além disso, pesquisadores apontaram semelhanças com a família Triada, conhecida por infiltrar firmwares e APKs para controle profundo do sistema.

Como se proteger agora

• Atualize o Android: os exploits usados já foram corrigidos — o risco maior é para aparelhos antigos.
• Revise apps instalados: desinstale utilitários obscuros, “cleaners” e jogos pouco conhecidos.
• Ative o Play Protect e mantenha patches de segurança em dia.
• Ambiente corporativo: use MDM para bloquear instalações fora do perfil gerenciado e exigir versões mínimas de patch.
• Suspeita de infecção persistente: pode ser necessário reinstalar o firmware (não apenas resetar).

Fonte: BleepingComputer