Categories: CYBERSEC GERAL

NoVoice no Google Play: malware com rootkit infectou 2,3 milhões e mira Androids desatualizados

Uma campanha batizada de Operation NoVoice colocou mais de 50 apps maliciosos no Google Play e acumulou ao menos 2,3 milhões de downloads. O diferencial aqui não é só o volume — é o nível de controle: o malware tenta ganhar root em aparelhos desatualizados e instala um rootkit capaz de persistir até após reset de fábrica.

O que aconteceu

Segundo o BleepingComputer, os apps se passavam por utilitários comuns (limpadores, galerias, jogos) e funcionavam “normalmente”, sem pedir permissões suspeitas. Após a instalação, o payload ativava uma cadeia de exploração de falhas antigas do Android (2016–2021) para escalar privilégios e modificar componentes críticos do sistema.

Como a infecção funciona

  • Distribuição silenciosa: apps aparentemente legítimos, com funções reais, entregavam o payload.
  • Coleta e seleção de exploit: o malware consulta o C2, envia dados do aparelho e recebe o exploit adequado para aquele modelo/patch level.
  • Root e persistência: explorações de kernel e drivers (incluindo GPU) dão acesso de administrador e permitem desativar o SELinux.
  • Injeção em apps: bibliotecas do sistema são substituídas por versões “hookadas” que interceptam chamadas e injetam código em qualquer app aberto.
  • Sobrevive a reset: componentes ficam em partições que não são apagadas no reset padrão.

Impacto e riscos práticos

O NoVoice foi observado roubando dados do WhatsApp (chaves do protocolo Signal, bancos criptografados e identificadores de conta) para clonar sessões. E isso é só a prova do conceito: com um rootkit ativo, qualquer app com rede pode virar alvo.

  • Exfiltração de credenciais e tokens.
  • Interferência em apps bancários e corporativos.
  • Persistência invisível ao usuário — inclusive após reset.

Contexto: por que isso é preocupante

Campanhas móveis com rootkit não são novidade, mas o NoVoice combina escala (milhões de downloads) com técnicas avançadas como esteganografia em imagens PNG e verificação ativa de emuladores, VPN e depuração. Além disso, pesquisadores apontaram semelhanças com a família Triada, conhecida por infiltrar firmwares e APKs para controle profundo do sistema.

Como se proteger agora

  • Atualize o Android: os exploits usados já foram corrigidos — o risco maior é para aparelhos antigos.
  • Revise apps instalados: desinstale utilitários obscuros, “cleaners” e jogos pouco conhecidos.
  • Ative o Play Protect e mantenha patches de segurança em dia.
  • Ambiente corporativo: use MDM para bloquear instalações fora do perfil gerenciado e exigir versões mínimas de patch.
  • Suspeita de infecção persistente: pode ser necessário reinstalar o firmware (não apenas resetar).

Fonte: BleepingComputer

TheNinja

Recent Posts

ROMA: framework open-source para agentes recursivos multi-agente ganha 1,75x com GEPA+ e vira novo padrão de arquitetura

ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…

43 minutos ago

Google DeepMind Co-Scientist chega à Nature e ao Gemini for Science: caso C2S-Scale valida hipótese oncológica com Yale

Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…

43 minutos ago

NVIDIA Vera Rubin NVL72 entra em produção total: 10x menos custo por token e 4x menos GPUs para treinar MoE

Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…

43 minutos ago

GPT-5.6 Sol, Terra e Luna abrem ao público hoje: OpenAI ativa GPT-Live e roda Sol na Cerebras a 750 tokens/s

OpenAI libera GPT-5.6 Sol, Terra e Luna nesta 5ª, estreia GPT-Live com voz full-duplex e…

43 minutos ago

TERMINAL//NG: a Plugged Ninja lança um cyberdeck SSH para operadores Linux — open source, com IA e parsers ao vivo

Novo projeto MIT combina terminal xterm.js completo, dashboard visual que interpreta a saída dos comandos…

12 horas ago