No “Play Market” foram encontradas dezenas de aplicativos com o malicioso NoVoice, que foram baixados por 2,3 milhões de usuários

Resumo breve

Mais de 50 aplicativos contendo código malicioso *NoVoice* foram encontrados no Google Play Market.

- O vírus utiliza vulnerabilidades conhecidas do Android (2016‑2021) para obter privilégios root.
- Foi baixado mais de 2,3 milhões de vezes.
- Os aplicativos parecem ser galerias de fotos, jogos e utilitários “limpadores” – não exigem permissões suspeitas.

Os especialistas da McAfee confirmaram a ameaça, mas não conseguiram identificar o invasor específico; o vírus se assemelha ao trojan *Triada*.

Como funciona o NoVoice
Etapa | O que acontece | Infecção
---|---|---
Código malicioso é colocado no pacote `com.facebook✴.utils`, mascarando-se como SDK do Facebook. A carga criptografada (`enc.apk`) está escondida dentro de uma imagem PNG, da qual o arquivo `h.apk` é extraído e carregado na memória. Em seguida todos os arquivos temporários são excluídos. |
Condição de infecção | Se o dispositivo for identificado como estando em Pequim ou Shenzhen (China) e passar por 15 verificações de emuladores, depuradores e VPNs, o processo é interrompido. Caso contrário, continua. |
Coleta de informações | O malware se conecta a um servidor remoto e envia: versão do kernel, Android, lista de aplicativos instalados, status root. As requisições são repetidas a cada 60 segundos. |
Explorações | A McAfee identificou 22 exploits (falhas de kernel, vazamentos de memória, vulnerabilidades de drivers Mali). Eles abrem um shell root e desativam o SELinux. |
Presença constante | Após obter root, o malware substitui as bibliotecas do sistema `libandroid_runtime.so` e `libmedia_jni.so`, cria scripts de recuperação, altera o manipulador de falhas e salva a carga de backup em uma partição do sistema (não é apagada ao redefinir). A cada 60 segundos um daemon guardião verifica a integridade do rootkit. |
Módulos funcionais | 1) Instalação/remoção oculta de aplicativos.
2) Conexão a qualquer aplicativo da internet e roubo de dados (geralmente do WhatsApp). Ao abrir o messenger, o malware obtém bases, chaves de criptografia, número de telefone e backups no Google Drive, enviando-os ao servidor controlador. Isso permite que os invasores clonem sessões do WhatsApp. |
Modularidade | O vírus pode usar outras cargas úteis para qualquer aplicativo no dispositivo. |

Proteção
- Dispositivos atualizados após maio de 2021 já não são vulneráveis, pois as falhas foram corrigidas.
- O Google Play Protect remove automaticamente aplicativos detectados e bloqueia novas instalações.
- Os usuários são aconselhados a instalar regularmente todas as atualizações de segurança disponíveis.

Conclusão: *NoVoice* é um rootkit complexo que usa vulnerabilidades antigas do Android para obter privilégios root, infecção oculta e roubo de dados de aplicativos populares. A proteção só é possível por meio de patches oportunos e uso do Play Protect.