Um novo malware para Android está a preocupar os especialistas em segurança. Chamado NoVoice, foi identificado pela McAfee em mais de 50 aplicações disponíveis na Google Play Store, que juntas somam pelo menos 2,3 milhões de downloads.
O mais preocupante é que estas aplicações pareciam totalmente normais. Funcionavam como prometido, não pediam permissões suspeitas e incluíam ferramentas comuns como limpadores, galerias de imagens e jogos.
Malware escondido consegue assumir controlo total do telemóvel
Segundo os investigadores, o NoVoice é um tipo de malware conhecido como rootkit. Em termos simples, isto significa que tenta obter acesso ao nível mais profundo do sistema, como se fosse um "administrador invisível" do teu telemóvel.
Depois de instalado, o malware explora falhas antigas do Android para ganhar acesso total ao dispositivo. Se for bem-sucedido, pode modificar partes do sistema e executar código malicioso dentro de qualquer aplicação que estiver aberta.
Na prática, isto permite aos atacantes controlar o telemóvel quase por completo, sem que o utilizador perceba.
Ataque usa técnicas avançadas para não ser detetado
Os investigadores explicam que o funcionamento do NoVoice é complexo e pensado para passar despercebido. O código malicioso é escondido dentro de ficheiros aparentemente inofensivos, incluindo imagens. Este método chama-se esteganografia, que consiste em esconder dados dentro de outros ficheiros.
Além disso, o malware comunica com um servidor remoto (chamado de C2, ou comando e controlo), que envia instruções e adapta o ataque ao dispositivo da vítima.
Outro detalhe curioso é o uso de um truque com áudio silencioso. O malware reproduz som no volume zero para se manter ativo em segundo plano sem levantar suspeitas.
Um dos pontos mais graves é a persistência do ataque. Em alguns casos, o NoVoice consegue sobreviver até a uma reposição de fábrica. Isto acontece porque o malware altera partes do sistema que normalmente não são apagadas nesse processo. Na prática, o telemóvel pode continuar infetado mesmo após uma "limpeza completa".
WhatsApp foi um dos principais alvos
Conforme reportou o Bleeping Computer, os investigadores também identificaram que o malware tinha como alvo principal o WhatsApp.
O objetivo era recolher dados sensíveis, como chaves de encriptação e informações da conta, permitindo aos atacantes replicar a sessão do utilizador noutro dispositivo. Isto pode dar acesso direto a mensagens e dados privados.
Aplicações já foram removidas, mas risco continua
A Google já removeu as aplicações infetadas da Play Store após o alerta da McAfee. No entanto, quem instalou alguma destas aplicações pode ainda estar em risco.
Para quem segue as recomendações de segurança e mantém os seus dispositivos sempre atualizados, a boa notícia é que o ataque depende de falhas antigas do Android. Dispositivos mais recentes ou atualizados com os últimos patches de segurança não são vulneráveis a esta exploração específica.
Como te podes proteger
Manter o telemóvel atualizado é uma das formas mais eficazes de proteção, já que muitas ameaças exploram falhas corrigidas em versões mais recentes do sistema. Além disso, é importante verificar sempre o programador, as avaliações e o número de downloads antes de instalar qualquer aplicação.
A McAfee também destaca a importância de reveres regularmente as aplicações instaladas. Se encontrares algo que não te lembras de ter instalado, remove imediatamente. Além disso, também é recomendado evitar aplicações promovidas por anúncios agressivos ou que criam uma sensação de urgência para a instalação. Este tipo de abordagem é comum em campanhas maliciosas.
Por fim, considera a utilização de um software antivírus para dispositivos móveis com a capacidade de identificar comportamentos suspeitos e bloquear ameaças conhecidas antes que causem danos.
Vê também:7 dicas para fortalecer a segurança do teu smartphone
