NoVoice: El rootkit persistente que ha infectado a millones de dispositivos Android
Investigadores de seguridad de McAfee han identificado un rootkit particularmente malicioso denominado NoVoice, el cual ha logrado infiltrarse en millones de dispositivos Android a través de la tienda oficial Google Play. Según los reportes, más de 50 aplicaciones infectadas fueron distribuidas, alcanzando al menos 2.3 millones de descargas antes de que Google procediera a su eliminación tras ser notificado.
Esta amenaza destaca por su capacidad de evasión y persistencia, afectando principalmente a usuarios en India, diversos países africanos y el medio oeste de Estados Unidos. El malware se dirige específicamente a dispositivos con niveles de parche de seguridad anteriores al 1 de mayo de 2021, dejando vulnerables a aquellos equipos que ya no cuentan con soporte oficial del fabricante.
Un mecanismo de ocultación avanzado
La sofisticación de NoVoice radica en su método de despliegue. El código malicioso se oculta dentro de archivos de imagen (miniaturas) embebidos en aplicaciones aparentemente inofensivas, como herramientas de limpieza (por ejemplo, aplicaciones de limpieza de teléfonos), juegos de puzzles o galerías de fotos. Esta técnica permite que el rootkit pase desapercibido para la mayoría de los escáneres de seguridad, que raramente inspeccionan el final de los datos de una imagen.
Una vez ejecutada la aplicación, NoVoice se infiltra en las profundidades del sistema, reemplazando librerías centrales de Android por versiones modificadas. Además, instala un proceso “watchdog” (perro guardián) que verifica cada minuto la supervivencia del malware; si el sistema o el usuario intentan eliminar la infección, este proceso se encarga de reinstalarla automáticamente.
Objetivos y riesgos para el usuario
Aunque el marco de trabajo de NoVoice está diseñado para aceptar cualquier objetivo, los investigadores de McAfee han confirmado que su tarea principal hasta el momento ha sido la clonación de sesiones de WhatsApp, robando bases de datos y claves de seguridad para lograr el secuestro de cuentas.
La gravedad de esta infección es extrema debido a que los métodos de recuperación convencionales son ineficaces. El rootkit es tan profundo que un restablecimiento de fábrica (factory reset) no logra eliminarlo. La única solución definitiva es realizar un reflasheo completo del firmware, una tarea prácticamente imposible para la mayoría de los usuarios afectados, ya que sus dispositivos suelen tener el bootloader bloqueado.
Mientras la comunidad de seguridad sigue alertando sobre esta nueva ola de malware que amenaza a millones de usuarios, también se han reportado otras amenazas activas, como el troyano Perseus, el cual se enfoca en atacar la banca en línea.
