En "Play Market" se encontraron decenas de aplicaciones con el malware NoVoice, que descargó a 2,3 millones de usuarios

Resumen breve

En Google Play Market se han encontrado más de 50 aplicaciones que contienen código malicioso *NoVoice*.

- El virus utiliza vulnerabilidades conocidas de Android (2016‑2021) para obtener privilegios root.
- Se ha descargado más de 2,3 millones de veces.
- Las aplicaciones parecen galerías fotográficas, juegos y utilidades “limpiadoras”; no requieren permisos sospechosos.

Los expertos de McAfee confirmaron la presencia de la amenaza, pero no pudieron identificar al atacante concreto; el virus es similar al troyano *Triada*.

Cómo funciona NoVoice
Etapa | Qué ocurre | Infección
---|---|---
Código malicioso se coloca en el paquete `com.facebook✴.utils`, disfrazándose como SDK de Facebook. La carga útil cifrada (`enc.apk`) está oculta dentro de una imagen PNG, del cual se extrae el archivo `h.apk` y se carga en memoria. Luego se eliminan todos los archivos temporales. | Si el dispositivo se detecta como ubicado en Pekín o Shenzhen (China) y pasa 15 comprobaciones contra emuladores, depuradores y VPN, el proceso se detiene; de lo contrario continúa. |
Recolección de información | El malware se conecta a un servidor remoto y envía: versión del kernel, Android, lista de aplicaciones instaladas, estado root. Las peticiones se repiten cada 60 segundos. |
Exploits | McAfee identificó 22 exploits (errores de kernel, fugas de memoria, vulnerabilidades de drivers Mali). Abren una shell root y desactivan SELinux. |
Presencia persistente | Tras obtener root, el malware reemplaza las bibliotecas del sistema `libandroid_runtime.so` y `libmedia_jni.so`, crea scripts de recuperación, sustituye el manejador de fallos y guarda la carga maliciosa en la partición del sistema (no se borra al restablecer). Cada 60 segundos se ejecuta un demonio guardián que verifica la integridad del rootkit. |
Módulos funcionales | 1) Instalación/eliminação oculta de aplicaciones.
2) Conexión a cualquier aplicación web y robo de datos (principalmente WhatsApp). Al abrir el mensajero, el malware obtiene bases de datos, claves de cifrado, número telefónico y copias de seguridad en Google Drive, enviándolas al servidor de control. Esto permite a los atacantes clonar sesiones de WhatsApp.
Modularidad: El virus puede usar otras cargas útiles para cualquier aplicación en el dispositivo. |

Protección
- Los dispositivos actualizados después de mayo de 2021 ya no son vulnerables, pues las exploits se han cerrado.
- Google Play Protect elimina automáticamente las aplicaciones detectadas y bloquea nuevas instalaciones.
- Se recomienda a los usuarios instalar regularmente todas las actualizaciones de seguridad disponibles.

Conclusión: *NoVoice* es un rootkit complejo que usa vulnerabilidades antiguas de Android para obtener privilegios root, infección oculta y robo de datos de aplicaciones populares. La protección solo es posible mediante parches oportunos y el uso de Play Protect.