Pesquisadores de segurança destaparam uma campanha sofisticada dirigida a dispositivos Android que chegou a camuflar-se dentro da loja oficial de aplicativos. De acordo com a análise publicada pela McAfee Labs, mais de 50 aplicativos legítimos — desde limpezas e galerias de fotos até jogos — ocultavam um conjunto de componentes maliciosos que a equipe bautizou como NoVoice e que, em conjunto, foram baixados pelo menos 2,3 milhões de vezes desde o Google Play. O mais preocupante não foi a aparência dos apps, mas a agressividade e o nível técnico do malware que se ativava uma vez instalado.( Relatório da McAfee).
As aplicações infectadas pediam permissões normais e cumpriam a função prometida no ecrã, o que facilitou sua distribuição. Após abrir qualquer um desses apps, o código malicioso iniciava uma sequência de verificações para determinar se o dispositivo era um objetivo válido: excluía certas regiões geográficas - por exemplo áreas concretas na China - e realizava mais de uma dúzia de verificações para detectar emuladores, depuradores e conexões VPN. Quando as condições pareciam favoráveis, o malware procedia a baixar periodicamente componentes adicionais de um servidor de controle e a testar uma bateria de exploits específicos do kernel e de drivers para obter privilégios de root; McAfee documentou até 22 exploits diferentes, alguns deles baseados em vulnerabilidades tipo use‐after‐free e falhas em drivers GPU Mali que já tinham adesivos publicados entre 2016 e 2021 ( boletim de segurança Android, maio 2021).
Uma vez atingido o root, NoVoice deixava de ser simplesmente uma app maliciosa: suastituía livrarias críticas do sistema por embalagens (wrappers) que interceptavam chamadas e redirigiam a execução para código de ataque. Também instalava múltiplos mecanismos de persistência, como scripts de recuperação, uma substituição do gerenciador de falhas do sistema que atua como carregador do rootkit e cópias de backup na partição do sistema. Isso significa que o software malicioso pode sobreviver mesmo a um restabelecimento de fábrica porque as partições que o alojam não são apagadas com essa operação. Além disso, um servidor de vigilância executado a cada minuto verifica a integridade do rootkit e, se detectar modificações, força reinício para reativar a infecção ( Documentação do SELinux no Android).
O vetor de entrega dos componentes adicionais era igualmente engenhoso: os atacantes ocultaram um payload criptografado dentro de uma imagem PNG usando técnicas de esteganografia; esse arquivo encoberto extraia-se em memória como um APK e todos os arquivos intermédios eram eliminados para dificultar a reconstrução forense. O pacote malicioso se escondia dentro do espaço de nomes da app em classes com nomes similares ao SDK do Facebook, o que ajudava a camuflar os artefatos maliciosos entre código legítimo ( Veja detalhes técnicos no McAfee).
Com o dispositivo já nas mãos dos atacantes, NoVoice moveva módulos que eram injetados em qualquer aplicativo que o usuário abrisse. Entre as capacidades observadas havia a instalação silenciosa e a eliminação de apps sem interação do proprietário, e um componente projetado para operar dentro de qualquer app com acesso à Internet para extrair dados sensíveis. O McAfee documentou um foco claro na mensagem: quando detectava o lançamento do WhatsApp, o rootkit exfiltrava bases de dados da aplicação, as chaves do protocolo Signal usadas pelo WhatsApp e outros identificadores que permitem clonar uma sessão. Com esses artefatos, os atacantes podem replicar a conta da vítima em outro dispositivo e assim interceptar mensagens e contatos ( Informações de segurança do WhatsApp).
Os pesquisadores não conseguiram atribuir a operação a um grupo concreto, embora apontassem similaridades técnicas com famílias de malware prévias como Triada, conhecida por sua capacidade de se implantar a nível sistêmico em dispositivos Android. A arquitetura modular do NoVoice permite, em teoria, a substituição do módulo do WhatsApp por outros dirigidos a diferentes aplicações ou serviços. Para mais contexto sobre ameaças semelhantes, consultar a entrada do Kaspersky sobre a Triada ( Triada na Kaspersky).
O Google retirou as aplicações assinaladas do Google Play após a notificação da McAfee, que faz parte da App Defense Alliance, uma iniciativa para reforçar a revisão de apps dentro da loja. No entanto, o simples fato de que esses apps chegassem a milhões de downloads destaca um risco real: aqueles que instalaram alguma das aplicações afetadas deveriam assumir que seu dispositivo fica comprometido. Uma restauração padrão pode não ser suficiente; em muitos casos, será necessário recorrer ao fabricante para re-flashear o firmware ou receber suporte especializado. Para usuários que queiram minimizar o risco imediato, as medidas passam por atualizar o sistema para a última versão de segurança disponível e evitar instalar aplicativos fora de fontes de confiança. O Google e outros fornecedores recomendam manter-se em modelos com suporte ativo e aplicar os adesivos de segurança mensais que fecham as vulnerabilidades exploradas por NoVoice ( Dicas de proteção para Android e sobre a App Defense Alliance).
Se você acha que o seu telefone pode ser afetado por NoVoice, você precisa não tentar operações complexas sem aconselhamento: muda senhas críticas de um dispositivo limpo e revisa medidas adicionais como a verificação em dois passos para serviços como o WhatsApp, e conta com o fabricante ou um serviço técnico de confiança para avaliar a reinstalação forense do sistema. Quando a ameaça implica persistência ao nível do sistema, a única garantia de limpeza completa é normalmente substituir ou re-flashear o firmware com imagens oficiais. Além disso, este caso é um lembrete de que nenhuma loja oficial é infalível: a prudência ao instalar aplicativos, mesmo no Google Play, e a atenção às atualizações de segurança continuam sendo as melhores defesas contra ameaças cada vez mais úteis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...