(https://www.bleepstatic.com/content/hl-images/2026/03/10/android.jpg)
Se ha detectado un nuevo malware para Android llamado NoVoice en Google Play, oculto en más de 50 aplicaciones que se han descargado al menos 2,3 millones de veces.
Entre las aplicaciones infectadas se encontraban limpiadores, galerías de imágenes y juegos. No requerían permisos sospechosos y ofrecían la funcionalidad prometida.
Tras ejecutar una aplicación infectada, el malware intentaba obtener acceso de superusuario (root) al dispositivo explotando antiguas vulnerabilidades de Android que recibieron parches entre 2016 y 2021.
Investigadores de la empresa de ciberseguridad McAfee descubrieron la operación de NoVoice, pero no pudieron vincularla a un actor específico. Sin embargo, destacaron que el malware compartía similitudes con el troyano Triada para Android.
Aplicación en Google Play que contiene la carga útil de NoVoice
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/app.jpg)
Cadena de infección de NoVoice
Según los investigadores de McAfee, el atacante ocultó componentes maliciosos en el paquete com.facebook.utils, mezclándolos con las clases legítimas del SDK de Facebook.
Una carga útil cifrada (enc.apk), oculta dentro de un archivo de imagen PNG mediante esteganografía, se extrae (h.apk) y se carga en la memoria del sistema, eliminando todos los archivos intermedios para borrar cualquier rastro.
McAfee señala que el atacante evita infectar dispositivos en ciertas regiones, como Pekín y Shenzhen (China), e implementó 15 comprobaciones para emuladores, depuradores y VPN. Si no se dispone de los permisos de ubicación necesarios, el malware continúa la cadena de infección.
Comprobaciones de validación realizadas en el dispositivo infectado
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/checks.jpg)
El malware se conecta al servidor de comando y control (C2) y recopila información del dispositivo, como detalles del hardware, versión del kernel, versión de Android (y nivel de parche), aplicaciones instaladas y estado de acceso root, para determinar la estrategia de explotación.
A continuación, el malware consulta el servidor C2 cada 60 segundos y descarga diversos componentes para exploits específicos del dispositivo, diseñados para obtener acceso root al sistema de la víctima.
Los investigadores crearon un mapa de la cadena de infección, desde la fase de distribución hasta la fase de inyección.
Cadena de vulnerabilidades para el malware NoVoice de Android
(https://www.bleepstatic.com/images/news/u/1100723/NoVoice_Android_infection.png)
McAfee afirma haber detectado 22 vulnerabilidades, incluyendo errores de kernel relacionados con el uso de memoria liberada y fallos en el controlador de la GPU Mali. Estas vulnerabilidades otorgan a los atacantes acceso de superusuario (root) y les permiten deshabilitar la aplicación de SELinux en el dispositivo, eliminando así sus protecciones de seguridad fundamentales.
Tras obtener acceso de superusuario, bibliotecas clave del sistema, como libandroid_runtime.so y libmedia_jni.so, se reemplazan con scripts maliciosos que interceptan las llamadas al sistema y redirigen la ejecución al código malicioso.
El rootkit establece múltiples capas de persistencia, incluyendo la instalación de scripts de recuperación, el reemplazo del gestor de errores del sistema por un cargador del rootkit y el almacenamiento de cargas útiles de respaldo en la partición del sistema.
Dado que esta parte del almacenamiento del dispositivo no se borra durante un restablecimiento de fábrica, el malware persistirá incluso después de una limpieza exhaustiva.
Un demonio de vigilancia se ejecuta cada 60 segundos para comprobar la integridad del rootkit y reinstalar automáticamente los componentes faltantes. Si las comprobaciones fallan, fuerza el reinicio del dispositivo, lo que provoca que el rootkit se recargue.
Robo de datos de WhatsApp
Durante la fase posterior a la explotación, el atacante inyecta código malicioso en todas las aplicaciones que se ejecutan en el dispositivo. Se implementan dos componentes principales: uno que permite la instalación o desinstalación silenciosa de aplicaciones, y otro que opera dentro de cualquier aplicación con acceso a internet.
Este último actúa como mecanismo principal de robo de datos, y McAfee observó que su objetivo principal era la aplicación de mensajería WhatsApp.
Cuando se ejecuta WhatsApp en un dispositivo infectado, el malware extrae datos confidenciales necesarios para replicar la sesión de la víctima, incluyendo bases de datos de cifrado, claves del protocolo Signal e identificadores de cuenta como el número de teléfono y los detalles de la copia de seguridad de Google Drive.
Esta información se extrae al servidor de comando y control (C2), lo que permite a los atacantes clonar la sesión de WhatsApp de la víctima en su propio dispositivo.
Código para robar bases de datos de WhatsApp
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/whatsapp.jpg)
Los investigadores señalaron que, si bien solo recuperaron una carga útil centrada en WhatsApp, el diseño modular de NoVoice hace técnicamente posible que se hayan utilizado otras cargas útiles dirigidas a cualquier aplicación del dispositivo.
Las aplicaciones maliciosas de Android que contenían cargas útiles de NoVoice se eliminaron de Google Play después de que McAfee, miembro de la App Defense Alliance, las reportara a Google.
Sin embargo, los usuarios que las hayan instalado previamente deben considerar que sus dispositivos y datos están comprometidos.
Dado que NoVoice ataca vulnerabilidades corregidas hasta mayo de 2021, actualizar a un dispositivo con un parche de seguridad más reciente mitiga eficazmente esta amenaza en su forma actual.
Se recomienda a los usuarios de Android que actualicen a modelos con soporte activo y que solo instalen aplicaciones de desarrolladores confiables y reconocidos, incluso en Google Play.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/