Malware NoVoice infecta Android através de aplicativos na Play Store, rouba dados do WhatsApp e persiste mesmo após reset
Um novo malware chamado NoVoice foi identificado na Google Play, oculto em mais de 50 aplicativos que receberam, juntos, ao menos 2,3 milhões de downloads. Esses aplicativos, que incluíam limpadores e jogos, não levantavam suspeitas, uma vez que não solicitavam permissões estranhas e cumpriam as funcionalidades prometidas.
Quando um usuário executava um aplicativo infectado, o malware tentava acessar a raiz do dispositivo, explorando vulnerabilidades que foram corrigidas entre 2016 e 2021. A descoberta do NoVoice foi feita por pesquisadores da McAfee, que não conseguiram vincular a operação a um agente de ameaças específico, mas notaram semelhanças com o trojan Triada.
Os componentes maliciosos eram disfarçados dentro do pacote com.facebook.utils, misturando-se com classes legítimas do SDK do Facebook. A carga maliciosa, criptografada e escondida em um arquivo de imagem, era extraída e carregada na memória do sistema, enquanto os arquivos de origem eram apagados para eliminar quaisquer vestígios. Notavelmente, o malware evita infectar dispositivos em regiões específicas, como Pequim e Shenzhen, na China, e implementa vários checados para detectar emuladores e VPNs.
O NoVoice mantém comunicação constante com um servidor a cada 60 segundos, baixando componentes específicos para executar exploits no dispositivo da vítima. Os pesquisadores mapearam a cadeia de infecção, desde a entrega até a injeção do malware.
Com um total de 22 exploits identificados, incluindo falhas em kernels e drivers, o malware consegue um shell com privilégios de root, desativando proteções cruciais de segurança do Android. Após obter acesso root, ele modifica bibliotecas essenciais do sistema, permitindo a interceptação de chamadas e a redireção da execução para o código malicioso.
Um daemon é executado periodicamente para garantir que o rootkit esteja em funcionamento, reinstalando componentes que falham ao serem verificados. Essa estratégia garante a persistência do malware, mesmo após tentativas de remoção.
No que diz respeito ao roubo de dados, um código controlado pelo invasor é injetado em aplicativos em execução, especialmente no WhatsApp, permitindo a extração de informações confidenciais, como bancos de dados de criptografia e chaves do protocolo Signal. Essas informações são direcionadas para o servidor do invasor, permitindo a clonagem da sessão do WhatsApp da vítima em outro dispositivo.
Embora as cargas úteis para o WhatsApp tenham sido recuperadas, o design modular do NoVoice permite a utilização de outras cargas que podem direcionar dados de qualquer aplicativo instalado. Após a denúncia da McAfee, os aplicativos maliciosos foram removidos da Play Store. Contudo, usuários que os instalaram anteriormente devem considerar seus dispositivos e dados como comprometidos.
Para mitigar essa ameaça, que se aproveita de vulnerabilidades já corrigidas, recomenda-se atualizar dispositivos para versões que tenham os patches mais recentes e instalar apenas aplicativos de desenvolvedores confiáveis.
Acompanhe a TecMania para mais atualizações sobre segurança e tecnologia.
