Um novo malware Android chamado **NoVoice** foi encontrado no **Google Play**, escondido em mais de 50 aplicativos que foram baixados pelo menos 2,3 milhões de vezes. Os aplicativos que carregavam o payload malicioso incluíam limpadores, galerias de imagens e jogos. Eles não exigiam permissões suspeitas e forneciam a funcionalidade prometida. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root no dispositivo explorando antigas vulnerabilidades Android que receberam patches entre 2016 e 2021. Pesquisadores da empresa de cibersegurança **McAfee** descobriram a operação NoVoice, mas não conseguiram vinculá-la a um ator de ameaça específico. No entanto, eles destacaram que o malware compartilhava semelhanças com o trojan Android **Triada**.  ### Cadeia de Infecção do NoVoice De acordo com pesquisadores da **McAfee**, o ator de ameaça ocultou componentes maliciosos no pacote *com.facebook.utils*, misturando-os com as classes legítimas do SDK do **Facebook**. Um payload criptografado (enc.apk) escondido dentro de um arquivo de imagem PNG usando esteganografia é extraído (*h.apk*) e carregado na memória do sistema, enquanto todos os arquivos intermediários são apagados para eliminar rastros. A **McAfee** observa que o ator de ameaça evita infectar dispositivos em certas regiões, como Pequim e Shenzhen na China, e implementou 15 verificações para emuladores, depuradores e VPNs. Se as permissões de localização não estiverem disponíveis, o malware continua a cadeia de infecção.  O malware então contata o servidor de comando e controle (C2) e coleta informações do dispositivo, como detalhes de hardware, versão do kernel, versão do Android (e nível de patch), aplicativos instalados e status de root, para determinar a estratégia de exploit. Em seguida, o malware consulta o C2 a cada 60 segundos e baixa vários componentes para exploits específicos do dispositivo projetados para obter acesso root no sistema da vítima. Os pesquisadores criaram um mapa da cadeia de infecção, desde o estágio de entrega até a fase de injeção.  A **McAfee** afirma ter observado 22 exploits, incluindo bugs de kernel use-after-free e falhas no driver da GPU Mali. Esses exploits fornecem aos operadores um shell root e permitem que eles desabilitem a aplicação do SELinux no dispositivo, efetivamente removendo suas proteções de segurança fundamentais. Após obter acesso root ao dispositivo, bibliotecas de sistema chave como *libandroid_runtime.so* e *libmedia_jni.so* são substituídas por wrappers hookados que interceptam chamadas de sistema e redirecionam a execução para o código de ataque. O rootkit estabelece múltiplas camadas de persistência, incluindo a instalação de scripts de recuperação, a substituição do manipulador de falhas do sistema por um carregador de rootkit e o armazenamento de payloads de fallback na partição do sistema. Como essa parte do armazenamento do dispositivo não é limpa durante uma redefinição de fábrica, o malware persistirá mesmo após uma limpeza agressiva. Um daemon de vigilância é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente os componentes ausentes. Se as verificações falharem, ele força o dispositivo a reiniciar, fazendo com que o rootkit seja recarregado. ### Roubo de Dados do WhatsApp Durante a fase de pós-exploração, código controlado pelo atacante é injetado em todos os aplicativos lançados no dispositivo. Dois componentes principais são implantados: um que permite a instalação ou remoção silenciosa de aplicativos e outro que opera dentro de qualquer aplicativo com acesso à internet. Este último serve como um mecanismo primário de roubo de dados, e a **McAfee** observou que ele visava principalmente o aplicativo de mensagens **WhatsApp**. Quando o **WhatsApp** é iniciado em um dispositivo infectado, o malware extrai dados sensíveis necessários para replicar a sessão da vítima, incluindo bancos de dados de criptografia, as chaves do protocolo Signal e identificadores de conta, como número de telefone e detalhes de backup do **Google Drive**. Essas informações são então exfiltradas para o C2, permitindo que os atacantes clonassem a sessão do WhatsApp da vítima em seus próprios dispositivos.  Os pesquisadores observaram que, embora tenham recuperado apenas um payload focado no **WhatsApp**, o design modular do **NoVoice** o torna tecnicamente possível de ter usado outros payloads visando qualquer aplicativo no dispositivo. Os aplicativos Android maliciosos que carregavam payloads **NoVoice** foram removidos do **Google Play** após a **McAfee**, membro da App Defense Alliance, relatá-los ao **Google**. No entanto, usuários que os instalaram anteriormente devem considerar seus dispositivos e dados comprometidos. Como o **NoVoice** visa falhas corrigidas até maio de 2021, atualizar para um dispositivo executando um patch de segurança posterior mitiga efetivamente essa ameaça em sua forma atual. É recomendado que usuários Android atualizem para modelos ativamente suportados e instalem aplicativos apenas de publicadores confiáveis e conhecidos, mesmo no **Google Play**.