Rootkit NoVoice infecta milhões no Android via Google Play

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3 de abril de 2026
3 min de leitura
Rootkit NoVoice infecta milhões no Android via Google Play

TL;DR

O sofisticado rootkit NoVoice infectou milhões de dispositivos Android através de 50 aplicativos legítimos na Google Play Store. O malware explora 22 vulnerabilidades diferentes, focando especialmente em versões desatualizadas do sistema operacional para obter controle total do aparelho sem ser detectado.

Infecção em Múltiplos Estágios e Exploração de 22 Vulnerabilidades

A campanha do rootkit NoVoice representa uma ameaça sofisticada que conseguiu burlar os filtros de segurança da Google Play ao se esconder em mais de 50 aplicativos aparentemente inofensivos. Esses apps, que incluíam jogos casuais, limpadores de sistema e ferramentas de galeria, funcionavam exatamente como esperado pelo usuário para evitar qualquer suspeita. No entanto, nos bastidores, o malware utilizava uma biblioteca massiva de 22 vulnerabilidades distintas para atingir milhões de dispositivos. De acordo com relatórios do HotHardware, o rootkit foca principalmente em versões mais antigas do Android que carecem dos patches de segurança mais recentes.

Para se proteger contra uma exploração tão abrangente, os usuários devem priorizar a segurança de rede e manter seus sistemas operacionais atualizados. A execução técnica do NoVoice envolve a entrega de um payload secundário assim que o aplicativo "utilitário" inicial é instalado. Este payload executa a cadeia de exploração para obter acesso root, assumindo efetivamente o controle das funções administrativas do dispositivo.

Clonagem de Sessão do WhatsApp e Roubo de Dados

Um dos recursos mais alarmantes do rootkit NoVoice é sua capacidade de clonar sessões do WhatsApp. Ao obter privilégios de root, o malware consegue acessar as pastas de dados privados de outros aplicativos instalados. Isso permite que os invasores ignorem as proteções padrão de sandbox e extraiam tokens de sessão confidenciais. Conforme observado pelo IT Security News, essa capacidade coloca milhões de usuários em risco de roubo de identidade e exposição de comunicações privadas.

Para aqueles preocupados com a privacidade móvel, utilizar a SquirrelVPN pode fornecer uma camada essencial de defesa, mascarando o tráfego e prevenindo ataques de man-in-the-middle (intermediário), frequentemente usados para facilitar o download de payloads secundários. A persistência do rootkit é alcançada através da modificação das partições do sistema, tornando-o "imortal" mesmo após restaurações de fábrica padrão em muitos dispositivos antigos.

Mecanismos de Persistência e Análise Técnica Detalhada

O rootkit NoVoice emprega uma estratégia de persistência em múltiplas camadas. Uma vez que o acesso root é obtido via as 22 falhas conhecidas, ele se instala no diretório /system, que normalmente é de apenas leitura. Isso garante que, mesmo que o aplicativo malicioso original seja excluído do menu de aplicativos do Android, o núcleo do rootkit permaneça ativo. Análises detalhadas de agregadores do Google News destacam que o malware frequentemente esconde seus arquivos de configuração em miniaturas de imagens (thumbnails) inócuas para burlar scanners simples de sistema de arquivos.

Detalhes técnicos sobre a cadeia de exploração indicam que o rootkit visa vulnerabilidades no kernel do Linux e em drivers de hardware específicos. Esse nível de acesso permite que o malware:

  • Monitore todos os pacotes de rede de entrada e saída.
  • Intercepte o que é digitado via editores de método de entrada (IMEs) personalizados.
  • Impeça a instalação de softwares antivírus ou atualizações de segurança.

Para combater essas ameaças de nível profundo, é fundamental compreender a tecnologia VPN e como túneis criptografados podem proteger os dados, mesmo que a rede local de um dispositivo esteja comprometida. A inspeção profunda de pacotes (DPI) por provedores de internet ou vigilância governamental pode ser mitigada com o uso de protocolos de tunelamento robustos que o NoVoice tem dificuldade em descriptografar.

Mantenha-se à frente das últimas ameaças de segurança cibernética e proteja sua pegada digital com as informações mais recentes da SquirrelVPN. Explore nossas ferramentas e serviços de ponta para reforçar sua privacidade online hoje mesmo.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Notícias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junho de 2026 4 min de leitura
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Por James Okoro 2 de junho de 2026 4 min de leitura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junho de 2026 5 min de leitura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de maio de 2026 4 min de leitura
common.read_full_article