NoVoice: rootkit Android distribuito tramite Play Store
Topic
Approfondimenti
Trending
tutti

NoVoice: rootkit Android distribuito tramite Play Store

NoVoice è un rootkit Android, distribuito tramite app presenti sul Play Store (rimosse da Google), che infetta vecchi dispositivi non aggiornati.
NoVoice: rootkit Android distribuito tramite Play Store
Sicurezza
NoVoice è un rootkit Android, distribuito tramite app presenti sul Play Store (rimosse da Google), che infetta vecchi dispositivi non aggiornati.
Bleeping Computer

I ricercatori di McAfee hanno scoperto un rootkit per Android, denominato NoVoice, che sfrutta vecchie vulnerabilità del sistema operativo per ottenere l’accesso root e quindi il controllo completo del dispositivo. Il malware è stato distribuito tramite app presenti sul Play Store. Google ha rimosso tutte le app e chiuso gli account dei rispettivi sviluppatori.

Reinstallazione del firmware per eliminare l’infezione

Gli esperti di McAfee hanno individuato oltre 50 app sul Play Store con circa 2,3 milioni di download complessivi. Non vengono richiesti permessi sospetti e le app offrono le funzionalità pubblicizzate. Il componente infetto è nascosto nelle classi Facebook SDK. All’avvio delle app viene caricato in memoria il file cifrato enc.apk nascosto in un’immagine PNG sfruttando la steganografia.

Il file decifrato (h.apk) carica una libreria che contiene due file jar. Il primo verifica la presenza di emulatori, debugger e VPN, mentre il secondo contatta il server C2 (command and control), al quale invia informazioni sul dispositivo e dal quale scarica altri componenti, tra cui 22 exploit e il rootkit NoVoice.

Gli exploit sfruttano vulnerabilità di Android che Google ha corretto tra il 2016 e il 2021. Sono quindi interessati i vecchi dispositivi che non hanno ricevuto il livello di patch 2021-05-01 (1 maggio 2021). I cybercriminali possono ottenere l’accesso root e disattivare le protezioni di sicurezza. Il rootkit sostituisce una libreria, intercetta le chiamate di sistema ed effettua il redirect al codice infetto (caricato da ogni app avviata).

NoVoice è persistente, quindi rimane in esecuzione anche dopo il riavvio del dispositivo e il ripristino delle impostazioni di fabbrica. L’unico modo per eliminarlo è reinstallare il firmware. Uno degli obiettivi del malware è WhatsApp. I cybercriminali possono rubare i dati che permettono di clonare le sessioni sui propri dispositivi.

Google ha comunicato che le app infette sono rilevate da Play Protect. Gli utenti che non sono in grado di reinstallare il firmware devono cambiare dispositivo.

Fonte: Bleeping Computer

Pubblicato il 5 apr 2026

Link copiato negli appunti

Ti potrebbe interessare

Chat Control: Google continuerà la scansione volontaria

Chat Control: Google continuerà la scansione volontaria
Bomba Norton 360 Deluxe: protezione completa in offerta a 2,92€

Bomba Norton 360 Deluxe: protezione completa in offerta a 2,92€
Documenti di identità italiani pubblicati su Telegram

Documenti di identità italiani pubblicati su Telegram
Nuova VPN con 2 euro al mese? Questa è l'offerta giusta

Nuova VPN con 2 euro al mese? Questa è l'offerta giusta
Chat Control: Google continuerà la scansione volontaria

Chat Control: Google continuerà la scansione volontaria
Bomba Norton 360 Deluxe: protezione completa in offerta a 2,92€

Bomba Norton 360 Deluxe: protezione completa in offerta a 2,92€
Documenti di identità italiani pubblicati su Telegram

Documenti di identità italiani pubblicati su Telegram
Nuova VPN con 2 euro al mese? Questa è l'offerta giusta

Nuova VPN con 2 euro al mese? Questa è l'offerta giusta
Luca Colantuoni
Pubblicato il
5 apr 2026
Link copiato negli appunti