Um malware chamado NoVoice infectou mais de 2,3 milhões de celulares Android por meio da loja Google Play. O código malicioso se escondia em mais de 50 aplicativos comuns, como galerias de fotos e otimizadores de sistema, com o objetivo de roubar informações do WhatsApp.
Os pesquisadores da empresa de segurança McAfee descobriram a ameaça recentemente. Eles relataram que o vírus explora falhas antigas do sistema operacional para ganhar controle total do aparelho.
O Google já removeu os programas infectados da sua plataforma oficial de aplicativos.
Como o ataque funciona no celular
O aplicativo infectado funciona normalmente e não pede permissões estranhas no momento da instalação. O invasor camufla os arquivos maliciosos dentro de imagens comuns e usa nomes parecidos com os do Facebook para enganar as defesas do sistema.
O vírus se conecta a um servidor a cada minuto para baixar ferramentas de ataque. O objetivo é quebrar as proteções do Android e instalar componentes que sobrevivem até quando a pessoa reinicia o celular.
O invasor também programou o vírus para evitar aparelhos de algumas regiões da China e celulares que usam redes virtuais privadas. O ataque continua normalmente se o aplicativo não tiver acesso à localização do usuário.
Roubo de mensagens e clonagem
O NoVoice coloca códigos dentro de qualquer programa aberto pela vítima que tenha conexão com a internet. O alvo principal dessa operação é o WhatsApp, de onde os criminosos extraem os dados para clonar a conta em outro aparelho.
O que o vírus consegue roubar do aplicativo de mensagens:
- Bancos de dados com a criptografia das conversas
- Chaves de segurança do protocolo Signal
- Número de telefone da vítima
- Informações sobre o backup guardado no Google Drive
Quem está em risco e como se proteger
O ataque afeta principalmente celulares que não recebem mais atualizações de segurança. O malware se aproveita de brechas que os desenvolvedores corrigiram entre os anos de 2016 e 2021.
A recomendação dos especialistas é trocar de celular caso o modelo não suporte os pacotes de correção mais recentes. Quem instalou os aplicativos comprometidos deve considerar que seus dados já caíram nas mãos dos invasores.
