Um verdadeiro cavalo de Troia digital conseguiu se esconder em aplicativos aparentemente comuns na loja oficial do Google. Batizado de “NoVoice”, esse malware enganou usuários por meio de limpadores de sistema, jogos simples e galerias de imagens.
A dimensão do problema é alarmante, pois os aplicativos infectados acumularam mais de 2,3 milhões de downloads antes da remoção. O grande perigo reside na capacidade do software de explorar brechas antigas do sistema para assumir o controle total do dispositivo.
Ao contrário de ameaças comuns, o NoVoice não age de forma imediata ou óbvia. Ele tenta obter privilégios de superusuário (root) para executar ações sem qualquer intervenção da vítima.
A mecânica de infecção
O malware mira especificamente em brechas de segurança corrigidas pelo Google entre 2016 e maio de 2021. Dispositivos que não receberam o patch de segurança de maio de 2021 são os principais alvos dessa operação.
Os criminosos utilizam um conjunto de 22 exploits diferentes para quebrar as defesas do sistema operacional.
Para evitar detecção, o NoVoice emprega um truque engenhoso com um arquivo de áudio silencioso que toca em volume zero. A tática permite que o código malicioso mantenha um serviço em execução contínua em segundo plano.
Os pesquisadores da McAfee observaram que o malware também evita infectar dispositivos localizados em regiões específicas, como Pequim e Shenzhen.
Uma das características mais preocupantes é a capacidade de sobrevivência do rootkit no sistema. Em dispositivos desatualizados, o NoVoice se instala em partições do sistema que não são apagadas durante a redefinição de fábrica.
Para eliminar completamente a infecção nesses casos extremos, é necessária a reinstalação completa do firmware do aparelho. Um mecanismo de “vigia” verifica a integridade do rootkit a cada 60 segundos e o reinstala automaticamente se algo for removido.
O alvo principal e os danos causados
A principal missão do NoVoice parece ser o sequestro de contas do WhatsApp.
Quando o mensageiro é aberto no dispositivo infectado, o malware extrai bancos de dados de criptografia e as chaves do protocolo Signal. Com essas informações, os atacantes conseguem clonar a sessão da vítima em outro dispositivo e acessar todas as conversas.
Uma vez com acesso root garantido, o malware substitui bibliotecas essenciais do Android, como a libandroid_runtime.so. Isso permite que código malicioso seja injetado em qualquer aplicativo aberto pelo usuário.
Os criminosos ganham a capacidade de instalar ou remover programas silenciosamente e capturar credenciais de bancos e serviços financeiros.
É crucial destacar que o ciclo completo de infecção só é bem-sucedido em telefones que estão rodando versões antigas do Android. Aparelhos atualizados com os patches de segurança mais recentes não são vulneráveis a essa exploração específica de root.
No entanto, mesmo nesses casos, outros comportamentos maliciosos dos aplicativos ainda podem representar riscos menores.
A resposta do Google e a proteção do usuário
Assim que a McAfee reportou a descoberta, o Google removeu todos os mais de 50 aplicativos infectados da Play Store. O sistema de segurança integrado Google Play Protect foi acionado para automaticamente remover os aplicativos problemáticos dos dispositivos.
A empresa também bloqueou novas tentativas de instalação das versões maliciosas.
Há uma boa notícia para quem mantém o sistema em dia: todos os dispositivos com atualizações de segurança posteriores a maio de 2021 estão imunes ao vetor principal de ataque do NoVoice.
Isso significa que a grande maioria dos celulares vendidos nos últimos anos está protegida, desde que o dono instale as atualizações recomendadas.
Mesmo na loja oficial, é vital verificar o nome do desenvolvedor e ler as avaliações recentes antes de instalar algo. Desconfie de aplicativos com poucos downloads ou descrições genéricas.
Para uma camada extra de segurança, soluções de proteção móvel conseguem detectar essa ameaça especificamente, identificando-a como Android/NoVoice.