NoVoice: Malware Android Rouba Dados do WhatsApp de Milhões

A descoberta, detalhada por especialistas da McAfee e repercutida pelo TecMundo, revela que o NoVoice se ocultava em mais de 50 aplicativos, como limpadores de sistema, galerias de imagens e jogos, que foram baixados pelo menos 2,3 milhões de vezes antes de serem identificados e removidos da loja oficial.

Como o NoVoice Opera e Rouba Dados do WhatsApp

A cadeia de infecção do NoVoice é sofisticada. Após a instalação de um aplicativo comprometido, o malware tenta obter acesso root ao dispositivo, explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Isso permite que ele se estabeleça profundamente no sistema, garantindo persistência mesmo após uma redefinição de fábrica, pois é armazenado em uma partição do dispositivo que não é apagada durante o processo.

O grande diferencial do NoVoice é sua capacidade de mirar especificamente no WhatsApp. Quando o aplicativo de mensagens é iniciado em um dispositivo infectado, o malware extrai dados cruciais para replicar a sessão da vítima. Isso inclui:

• Bancos de dados de criptografia.
• Chaves do protocolo Signal.
• Identificadores de conta, como número de telefone.
• Detalhes de backup do Google Drive.

Essas informações são então exfiltradas para um servidor de Comando e Controle (C2) operado pelos atacantes, permitindo que eles clonem a sessão do WhatsApp da vítima em outro dispositivo. Um daemon de vigilância é executado a cada 60 segundos para verificar a integridade do rootkit e reinstalar automaticamente componentes ausentes, forçando o reinício do aparelho se as verificações falharem, garantindo a recarga do rootkit.

Modularidade e Evasão

Pesquisadores da McAfee notaram que, embora a carga útil recuperada estivesse focada no WhatsApp, o design modular do NoVoice permite que ele seja tecnicamente adaptado para direcionar qualquer outro aplicativo instalado no dispositivo. Além disso, o malware possui mecanismos de evasão, evitando a infecção de dispositivos em regiões específicas, como Pequim e Shenzhen, na China, e implementa 15 verificações para emuladores, depuradores e VPNs.

Veja também:

• Xiaomi Ajusta Preços de Dispositivos Redmi na China por Alta de Chips
• Vazamento de Forza Horizon 6 Acalma Jogadores sobre Tráfego e Detalhes do Japão

Desdobramentos e Recomendações de Segurança

Após a identificação e o alerta dos pesquisadores, o Google agiu rapidamente para remover os aplicativos maliciosos da Google Play Store. A empresa também informou que dispositivos Android que receberam atualizações de segurança desde maio de 2021 já estão protegidos contra as vulnerabilidades exploradas pelo NoVoice.

É crucial que os usuários de Android mantenham seus sistemas operacionais e aplicativos sempre atualizados para mitigar riscos. Além disso, a cautela na instalação de novos aplicativos, mesmo da Google Play Store, e a verificação de permissões solicitadas são passos fundamentais para a segurança. No caso específico do NoVoice, os dados da McAfee indicam que houve pouquíssimas infecções no Brasil.

Outras Ameaças ao WhatsApp e Android no Cenário Atual

O NoVoice não é a única ameaça cibernética que visa usuários de Android e, em particular, o WhatsApp. O cenário de cibersegurança é dinâmico, com novos malwares surgindo constantemente:

Arsink Malware: O Trojan de Acesso Remoto

Em fevereiro de 2026, o Google emitiu um alerta sobre o Arsink Malware, um Trojan de Acesso Remoto (RAT) perigoso. Diferente do NoVoice, o Arsink se espalha principalmente fora da Google Play Store, disfarçado como versões “Mod” ou “Premium” de aplicativos populares como WhatsApp, Instagram e YouTube, distribuídos via canais de Telegram, Discord e sites de terceiros. Ele é capaz de roubar informações pessoais e assumir o controle total do dispositivo. O Google Play Protect oferece proteção automática contra esse tipo de aplicativo nocivo.

Sturnus: O Espião de Mensagens Criptografadas

Descoberto em novembro de 2025, o trojan bancário Sturnus demonstrou uma capacidade rara: monitorar conversas em aplicativos com criptografia ponta a ponta, como WhatsApp, Telegram e Signal. Embora a criptografia permaneça intacta, o Sturnus consegue capturar o conteúdo da tela após a mensagem ser descriptografada pelo próprio aplicativo, burlando a proteção. A infecção ocorre geralmente por meio de aplicativos maliciosos ou arquivos APK externos que solicitam permissões de acessibilidade.

Eternidade Stealer e Sorvepotel: Golpes via WhatsApp Web no Brasil

O Brasil tem sido alvo de campanhas de malware que exploram o WhatsApp, especialmente via WhatsApp Web. O Eternidade Stealer, identificado em novembro de 2025, se espalha por arquivos ZIP maliciosos com mensagens urgentes e enganosas, roubando contatos, dados bancários, arquivos e capturas de tela. Similarmente, o vírus Sorvepotel, com foco no Brasil, também se propaga por arquivos ZIP no WhatsApp Web, visando o roubo de informações bancárias.

ToxicPanda e BTMOB: Ameaças de Espionagem e Fraude

O ToxicPanda, um malware de origem chinesa, tem como objetivo roubar informações e realizar transações bancárias fraudulentas, disfarçando-se como aplicativos comuns e explorando as configurações de acessibilidade do Android. Ele tem se aproximado do Brasil, com casos crescentes na América Latina. Já o BTMOB, um Trojan de Acesso Remoto (RAT), avança no Brasil, transformando dispositivos Android em ferramentas de espionagem, permitindo monitoramento em tempo real, registro de digitação e sequestro de sessões.

Medidas Essenciais de Proteção

Diante da proliferação de malwares complexos, a adoção de práticas de segurança robustas é indispensável para todos os usuários de Android:

• Baixe aplicativos apenas de fontes oficiais: Priorize sempre a Google Play Store e verifique a reputação do desenvolvedor e as avaliações dos apps.
• Mantenha o sistema e aplicativos atualizados: As atualizações frequentemente contêm correções de segurança críticas.
• Utilize um antivírus confiável: Softwares de segurança podem detectar e bloquear ameaças em tempo real.
• Verifique as permissões dos aplicativos: Desconfie de apps que solicitam permissões excessivas ou irrelevantes para sua funcionalidade.
• Ative a verificação em duas etapas: Para o WhatsApp e outras contas importantes, a autenticação de dois fatores adiciona uma camada extra de segurança.
• Cuidado com links e arquivos suspeitos: Evite clicar em links ou baixar arquivos ZIP de remetentes desconhecidos ou em mensagens que parecem urgentes demais.

A vigilância constante e a adoção de medidas preventivas são a melhor defesa contra a evolução das ameaças cibernéticas que visam roubar dados e comprometer a segurança digital.