Um novo malware para Android chamado NoVoice foi identificado no Google Play, presente em mais de 50 apps que somaram pelo menos 2,3 milhões de downloads.
Os aplicativos infectados incluíam cleaners, galerias de imagens e jogos.
Eles não exigiam permissões suspeitas e cumpriam as funcionalidades prometidas, o que ajudava a disfarçar a presença do malware.
Ao abrir o app infectado, o malware tentava obter acesso root no dispositivo explorando vulnerabilidades antigas do Android, que receberam patches entre 2016 e 2021.
Pesquisadores da empresa de cibersegurança McAfee descobriram a operação do NoVoice, mas não conseguiram vinculá-la a um ator específico.
Ainda assim, ressaltaram que o malware apresentava semelhanças com o trojan Android Triada.
De acordo com os especialistas da McAfee, o ator malicioso escondeu componentes maliciosos no pacote com.facebook.utils, misturando-os com classes legítimas do Facebook SDK.
Um payload criptografado (enc.apk), oculto dentro de um arquivo de imagem PNG por meio de esteganografia, é extraído (como h.apk) e carregado na memória do sistema, eliminando todos os arquivos intermediários para apagar rastros.
A McAfee aponta que o autor evita infectar dispositivos em algumas regiões, como Beijing e Shenzhen, na China, e implementou 15 verificações para detectar emuladores, debuggers e VPNs.
Caso não consiga permissão de localização, o malware segue com a cadeia de infecção.
Em seguida, contata o servidor de comando e controle (C2) para coletar informações do dispositivo, como detalhes do hardware, versão do kernel, versão do Android (e nível de patch), apps instalados e se o aparelho tem root, para definir a melhor estratégia de exploit.
O malware consulta o C2 a cada 60 segundos e baixa diversos componentes para explorar vulnerabilidades específicas ao dispositivo, com o objetivo de obter acesso root no sistema da vítima.
Os pesquisadores construíram um mapa detalhado da cadeia de infecção, da etapa de entrega até a injeção.
A McAfee identificou 22 exploits usados, incluindo bugs de use-after-free no kernel e falhas no driver GPU Mali.
Esses exploits garantem uma shell com privilégios root aos operadores e permitem desativar a aplicação do SELinux no dispositivo, removendo proteções fundamentais de segurança.
Após obter acesso root, bibliotecas principais do sistema como libandroid_runtime.so e libmedia_jni.so são substituídas por wrappers com hooks, que interceptam chamadas do sistema e redirecionam a execução para o código malicioso.
O rootkit cria múltiplas camadas de persistência, instalando scripts de recuperação, substituindo o handler de crash do sistema por um loader do rootkit e armazenando payloads de fallback na partição do sistema.
Essa área do armazenamento não é apagada durante um reset de fábrica, garantindo que o malware persista mesmo após uma limpeza completa.
Um daemon watchdog é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar componentes desaparecidos.
Se a checagem falhar, o dispositivo é forçado a reiniciar, recarregando o rootkit automaticamente.
Na fase pós-exploração, códigos controlados pelos invasores são injetados em todos os apps abertos no dispositivo.
Dois componentes principais são ativados: um permite a instalação ou remoção silenciosa de aplicativos e outro opera dentro de qualquer app com acesso à internet.
Este último funciona como o principal mecanismo de roubo de dados.
A McAfee observou que ele tem como alvo prioritário o WhatsApp.
Quando o WhatsApp é aberto em um dispositivo infectado, o malware coleta dados sensíveis necessários para replicar a sessão da vítima, incluindo bases de dados de criptografia, chaves do protocolo Signal e identificadores da conta, como número de telefone e informações do backup no Google Drive.
Essas informações são então exfiltradas para o C2, permitindo que os atacantes clonem a sessão do WhatsApp da vítima em outro dispositivo.
Embora os pesquisadores tenham recuperado apenas um payload focado no WhatsApp, o design modular do NoVoice torna tecnicamente possível o uso de outros payloads direcionados a qualquer app instalado no dispositivo.
Os aplicativos maliciosos contendo o NoVoice foram removidos do Google Play após a McAfee, integrante da App Defense Alliance, reportar o caso ao Google.
Contudo, usuários que já instalaram esses apps devem considerar seus dispositivos e dados comprometidos.
Como o NoVoice explora vulnerabilidades corrigidas até maio de 2021, atualizar para um aparelho com patch de segurança mais recente elimina efetivamente essa ameaça em sua forma atual.
Recomenda-se que usuários Android migrem para modelos com suporte ativo e instalem apenas aplicativos de fontes confiáveis e reconhecidas, mesmo dentro do Google Play.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...