Rootkit NoVoice infecta milhões no Android via Google Play

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3 de abril de 2026
3 min de leitura
Rootkit NoVoice infecta milhões no Android via Google Play

TL;DR

O sofisticado rootkit NoVoice infectou milhões de dispositivos Android através de 50 aplicativos legítimos na Google Play Store. O malware explora 22 vulnerabilidades diferentes, focando especialmente em versões desatualizadas do sistema operacional para obter controle total do aparelho sem ser detectado.

Infecção em Múltiplos Estágios e Exploração de 22 Vulnerabilidades

A campanha do rootkit NoVoice representa uma ameaça sofisticada que conseguiu burlar os filtros de segurança da Google Play ao se esconder em mais de 50 aplicativos aparentemente inofensivos. Esses apps, que incluíam jogos casuais, limpadores de sistema e ferramentas de galeria, funcionavam exatamente como esperado pelo usuário para evitar qualquer suspeita. No entanto, nos bastidores, o malware utilizava uma biblioteca massiva de 22 vulnerabilidades distintas para atingir milhões de dispositivos. De acordo com relatórios do HotHardware, o rootkit foca principalmente em versões mais antigas do Android que carecem dos patches de segurança mais recentes.

Para se proteger contra uma exploração tão abrangente, os usuários devem priorizar a segurança de rede e manter seus sistemas operacionais atualizados. A execução técnica do NoVoice envolve a entrega de um payload secundário assim que o aplicativo "utilitário" inicial é instalado. Este payload executa a cadeia de exploração para obter acesso root, assumindo efetivamente o controle das funções administrativas do dispositivo.

Clonagem de Sessão do WhatsApp e Roubo de Dados

Um dos recursos mais alarmantes do rootkit NoVoice é sua capacidade de clonar sessões do WhatsApp. Ao obter privilégios de root, o malware consegue acessar as pastas de dados privados de outros aplicativos instalados. Isso permite que os invasores ignorem as proteções padrão de sandbox e extraiam tokens de sessão confidenciais. Conforme observado pelo IT Security News, essa capacidade coloca milhões de usuários em risco de roubo de identidade e exposição de comunicações privadas.

Para aqueles preocupados com a privacidade móvel, utilizar a SquirrelVPN pode fornecer uma camada essencial de defesa, mascarando o tráfego e prevenindo ataques de man-in-the-middle (intermediário), frequentemente usados para facilitar o download de payloads secundários. A persistência do rootkit é alcançada através da modificação das partições do sistema, tornando-o "imortal" mesmo após restaurações de fábrica padrão em muitos dispositivos antigos.

Mecanismos de Persistência e Análise Técnica Detalhada

O rootkit NoVoice emprega uma estratégia de persistência em múltiplas camadas. Uma vez que o acesso root é obtido via as 22 falhas conhecidas, ele se instala no diretório /system, que normalmente é de apenas leitura. Isso garante que, mesmo que o aplicativo malicioso original seja excluído do menu de aplicativos do Android, o núcleo do rootkit permaneça ativo. Análises detalhadas de agregadores do Google News destacam que o malware frequentemente esconde seus arquivos de configuração em miniaturas de imagens (thumbnails) inócuas para burlar scanners simples de sistema de arquivos.

Detalhes técnicos sobre a cadeia de exploração indicam que o rootkit visa vulnerabilidades no kernel do Linux e em drivers de hardware específicos. Esse nível de acesso permite que o malware:

  • Monitore todos os pacotes de rede de entrada e saída.
  • Intercepte o que é digitado via editores de método de entrada (IMEs) personalizados.
  • Impeça a instalação de softwares antivírus ou atualizações de segurança.

Para combater essas ameaças de nível profundo, é fundamental compreender a tecnologia VPN e como túneis criptografados podem proteger os dados, mesmo que a rede local de um dispositivo esteja comprometida. A inspeção profunda de pacotes (DPI) por provedores de internet ou vigilância governamental pode ser mitigada com o uso de protocolos de tunelamento robustos que o NoVoice tem dificuldade em descriptografar.

Mantenha-se à frente das últimas ameaças de segurança cibernética e proteja sua pegada digital com as informações mais recentes da SquirrelVPN. Explore nossas ferramentas e serviços de ponta para reforçar sua privacidade online hoje mesmo.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Notícias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de leitura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de leitura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de leitura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de leitura
common.read_full_article