Dezenas de aplicativos infectados com o vírus NoVoice foram descobertos na Play Store, totalizando 2,3 milhões de downloads.

Mais de 50 aplicativos contendo o malware NoVoice foram detectados na Google Play Store. Ele explora vulnerabilidades conhecidas na tentativa de obter acesso root. Esses aplicativos foram baixados um total de pelo menos 2,3 milhões de vezes.

Fonte da imagem: Tom Sodoge / unsplash.com

Os aplicativos que contêm o payload malicioso incluem galerias de fotos, jogos e aplicativos de limpeza — eles oferecem a funcionalidade prometida e não exigem permissões suspeitas. Assim que o aplicativo infectado é iniciado, o componente malicioso tenta explorar vulnerabilidades antigas do Android, corrigidas entre 2016 e 2021, e tenta obter acesso root no dispositivo. Especialistas da McAfee descobriram a ameaça e não conseguiram vinculá-la a um atacante específico, mas notaram semelhanças com o Trojan Triada.

Os componentes maliciosos são colocados no pacote “com.facebook✴.utils”, misturando-os com classes legítimas do SDK do Facebook✴. O payload criptografado, na forma de um arquivo “enc.apk”, é colocado dentro de um arquivo de imagem PNG, do qual é extraído e carregado na memória do sistema como um arquivo “h.apk”. Todos os arquivos intermediários são excluídos para eliminar rastros. A infecção é encerrada se o dispositivo for detectado como estando localizado em Pequim ou Shenzhen, na China. Quinze verificações são realizadas para emuladores, depuradores e VPNs. Se a localização não puder ser determinada, o processo de infecção continua.

O componente malicioso contata o servidor e transmite informações do dispositivo: versão do kernel, versão do Android e patches de segurança, uma lista de aplicativos instalados e status de root — tudo isso ajuda a determinar a próxima estratégia. O servidor é então contatado a cada 60 segundos, baixando vários componentes de exploração específicos do dispositivo, projetados para obter privilégios de root no sistema da vítima. Os especialistas da McAfee descobriram 22 exploits, incluindo:Essas vulnerabilidades exploram falhas no kernel relacionadas à liberação de memória após o uso e uma vulnerabilidade nos drivers gráficos Mali. Elas permitem que os operadores obtenham acesso root, possibilitando a desativação do sistema de segurança SELinux.

Fonte da imagem: Soheb Zaidi / unsplash.com

Uma vez obtido o acesso root, o malware substitui as bibliotecas do sistema “libandroid_runtime.so” e “libmedia_jni.so” por versões modificadas que interceptam chamadas do sistema. O rootkit estabelece várias camadas de persistência, incluindo a criação de scripts de recuperação, a substituição do gerenciador de falhas do sistema e o armazenamento de payloads de backup na partição do sistema. Essa parte da memória do dispositivo não é apagada durante uma restauração de fábrica, portanto, mesmo após uma limpeza completa, o malware continua operando no dispositivo. Um daemon de monitoramento é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente os componentes ausentes.

Assim que todos os componentes maliciosos são instalados, dois componentes funcionais são implantados: um permite a instalação e remoção furtiva de aplicativos e o segundo se conecta a qualquer aplicativo com acesso à internet e rouba dados. Os dados são roubados com mais frequência do WhatsApp. Quando o aplicativo é aberto em um dispositivo infectado, o malware extrai dados confidenciais: bancos de dados e chaves de criptografia, bem como identificadores de conta, como números de telefone e dados de backup do Google Drive. Essas informações são transmitidas para o servidor de comando e controle, permitindo que invasores clonem sessões do WhatsApp em seus dispositivos. A arquitetura modular do vírus permite, tecnicamente, o uso de diferentes payloads para qualquer outro aplicativo no dispositivo.

Dispositivos com atualizações posteriores a maio de 2021 estão protegidos contra o NoVoice, pois as vulnerabilidades exploradas pelo malware foram corrigidas.Há alguns anos, o BleepingComputer noticiou o envolvimento do Google, acrescentando: “Como medida de segurança adicional, o Google Play Protect remove automaticamente esses aplicativos e bloqueia novas instalações. Os usuários devem sempre instalar as atualizações de segurança mais recentes disponíveis para seus dispositivos.” No entanto, os proprietários de dispositivos já infectados devem considerar seus dispositivos e os dados neles contidos como comprometidos.