I ricercatori di sicurezza di McAfee hanno identificato una campagna che distribuisce un rootkit chiamato NoVoice tramite applicazioni pubblicate sul Play Store. Le app coinvolte mostrano funzionalità apparentemente legittime e non richiedono permessi sospetti, ma nascondono un componente malevolo all’interno di librerie usuali per gli sviluppatori, rendendo l’attacco difficile da individuare con una prima occhiata. Questo articolo spiega il metodo di infezione, le vulnerabilità sfruttate, l’impatto sui dispositivi e le misure di mitigazione consigliate.
La diffusione ha interessato oltre cinquanta applicazioni con un volume complessivo di download stimato intorno ai 2,3 milioni. Google ha rimosso le app e disattivato gli account degli autori dopo la segnalazione, e ha indicato che molte delle app sono già identificate da Play Protect.
Tuttavia, il cuore del problema è che il codice malevolo sfrutta falle del sistema operativo già corrette in update rilasciati fra il 2016 e il 2026, rendendo pericolosi i dispositivi che non hanno ricevuto il livello di patch 2026-05-01 (1 maggio 2026).
Meccanismo di infezione e tecniche impiegate
La catena d’attacco parte da un file cifrato nascosto in un’immagine: il payload enc.apk viene occultato tramite steganografia dentro un PNG e caricato in memoria all’avvio dell’app. Dopo la decodifica genera un eseguibile (indicato come h.apk) che a sua volta carica una libreria contenente due moduli .jar. Il primo modulo effettua controlli ambientali per rilevare emulatori, debugger e l’uso di VPN; il secondo si connette a un server di comando e controllo (C2) inviando informazioni sul dispositivo e ricevendo ulteriori componenti dannosi, tra cui una raccolta di 22 exploit e il rootkit NoVoice.
Come il rootkit ottiene l’accesso e persiste
Gli exploit inclusi nella fase di post-infezione puntano a vulnerabilità del sistema operativo che Google ha corretto nel corso degli anni 2016-2026. Se il dispositivo non ha il livello di patch richiesto, gli attaccanti possono ottenere permessi root e disattivare protezioni di sicurezza. Il rootkit sostituisce una libreria di sistema, intercetta le chiamate di sistema e reindirizza l’esecuzione verso codice compromesso caricato da ogni app interessata, rendendo l’infezione persistente anche dopo riavvi o reset.
Impatto sui dati e obiettivi degli aggressori
Uno degli scopi principali segnalati dagli analisti è il furto di dati utili a clonare sessioni di messaggistica, in particolare WhatsApp. Accedendo ai file e alle chiavi necessarie, i criminali possono duplicare sessioni sui propri dispositivi e intercettare conversazioni.
Poiché il rootkit opera a livello profondo del sistema, può aggirare meccanismi di protezione delle app e raccogliere dati sensibili, compromettere l’integrità delle comunicazioni e facilitare campagne successive o estorsioni.
Chi è maggiormente a rischio
I dispositivi più vulnerabili sono quelli che non hanno ricevuto aggiornamenti di sicurezza regolari e che montano livelli di patch antecedenti al 2026-05-01. In pratica, smartphone e tablet non aggiornati o lasciati con firmware obsoleti offrono una superficie di attacco che gli aggressori possono sfruttare con gli exploit disponibili nel toolkit. Anche app che sembrano affidabili possono trasformarsi in vettori di attacco se integrano librerie compromesse.
Rimozione, mitigazione e raccomandazioni
Il carattere più inquietante del caso è la persistenza: NoVoice rimane attivo dopo riavvio e ripristino alle impostazioni di fabbrica, e l’unica soluzione certa indicata dagli esperti è la reinstallazione completa del firmware.
Se l’utente non è in grado di procedere con questa operazione, l’alternativa consigliata è la sostituzione del dispositivo. Nel frattempo, Google ha eliminato le app incriminate e afferma che molte di esse vengono segnalate da Play Protect, ma la prevenzione rimane fondamentale.
Per proteggersi si consiglia di mantenere il dispositivo aggiornato con gli ultimi aggiornamenti di sicurezza, evitare di installare app da fonti non ufficiali e controllare le autorizzazioni richieste. Installare una soluzione di sicurezza affidabile, eseguire backup regolari e, in caso di sospetto compromesso, rivolgersi a centri di assistenza autorizzati per la reinstallazione del firmware sono passi essenziali per limitare i danni e recuperare il controllo dei propri dati.
