El malware para Android denominado NoVoice ha comprometido al menos 2.3 millones de dispositivos a través de la Google Play Store, aprovechando vulnerabilidades conocidas para obtener acceso de root en los sistemas afectados.
La amenaza se distribuyó mediante más de 50 aplicaciones que incluían juegos, galerías de imágenes y herramientas de limpieza. Para evadir la detección, estas aplicaciones no solicitaban permisos sospechosos y proporcionaban la funcionalidad prometida al usuario, actuando como una fachada para el payload malicioso.
Mecanismos de infección y evasión
Investigadores de la empresa de ciberseguridad McAfee descubrieron que NoVoice utiliza tácticas avanzadas para ocultar su presencia. El actor de la amenaza integró componentes maliciosos dentro del paquete com.facebook.utils, mezclándolos con clases legítimas del SDK de Facebook.
El proceso de infección emplea esteganografía para esconder un payload cifrado (enc.apk) dentro de un archivo de imagen PNG. Una vez extraído como h.apk, el código se carga directamente en la memoria del sistema, eliminando posteriormente todos los archivos intermedios para borrar cualquier rastro de la operación.
Además, el malware implementa un riguroso sistema de validación que incluye 15 comprobaciones para detectar la presencia de emuladores, depuradores y VPNs. McAfee también observó que el malware evita deliberadamente la infección de dispositivos en regiones específicas, como Beijing y Shenzhen en China.
Recopilación de datos y control
Una vez instalado, NoVoice es capaz de leer datos de mensajería. Para optimizar su ataque, el malware establece contacto con un servidor de comando y control (C2) y recopila información detallada del dispositivo, incluyendo:
- Detalles del hardware y versión del kernel.
- Versión de Android y nivel del parche de seguridad.
- Lista de aplicaciones instaladas.
- Estado de root del dispositivo.
Con esta información, el atacante determina la mejor estrategia de explotación. Para lograr el acceso de root, NoVoice explota vulnerabilidades antiguas de Android que fueron parcheadas entre los años 2016 y 2021, lo que hace que los dispositivos desactualizados sean los más vulnerables.
Aunque no se ha podido vincular a un actor de amenazas específico, los expertos de McAfee destacaron que NoVoice comparte similitudes técnicas con el troyano de Android conocido como Triada.
