Un malware para Android llamado NoVoice se ha distribuido a través de más de 50 apps que, hasta hace poco, estaban en Google Play. Entre todas sumaron al menos 2,3 millones de descargas, una cifra que llama la atención porque muchas eran herramientas corrientes como limpiadores, galerías de fotos y juegos.
Lo inquietante no es solo que pasara el filtro de una tienda oficial. Según el análisis de McAfee Labs, en móviles antiguos o sin parches recientes el ataque puede llegar a tomar control profundo del sistema y mantenerse incluso después de un restablecimiento de fábrica, con un foco claro en WhatsApp. ¿Tu móvil lleva tiempo sin actualizarse?
Qué ha pasado y por qué importa
La investigación está firmada por Ahmad Zubair Zahid, del equipo de McAfee Labs, y describe una campaña que la compañía sigue como Operation NoVoice. McAfee afirma que notificó a Google por canales de divulgación responsable y, tras ese aviso, Google retiró las apps identificadas y bloqueó las cuentas de desarrollador asociadas.
Aun así, el dato clave es otro. McAfee habla de descargas, pero matiza que no está claro cuántos dispositivos llegaron a quedar realmente comprometidos, porque no todas las instalaciones acaban en infección completa.
Un rootkit explicado sin darle demasiadas vueltas
McAfee describe NoVoice como un “rootkit”, que es una forma de malware que intenta ponerse por debajo de las apps normales y de parte de las defensas del sistema. En la práctica, eso significa que busca permisos de “superusuario”, el nivel más alto de control, para tocar piezas críticas del teléfono.
Para lograrlo, el malware se apoya en fallos antiguos del sistema que Android fue corrigiendo con parches entre 2016 y 2021. En su investigación, McAfee recuperó 22 métodos distintos para aprovechar esos fallos, y en uno de ellos vio un ataque por etapas que acaba desactivando una capa de seguridad del sistema llamada SELinux.
El camuflaje que lo hizo creíble
Aquí hay un detalle fácil de imaginar. Las apps no se comportaban como una estafa cutre que te pide permisos raros nada más abrirla, sino que “funcionaban” y pedían permisos normales, con librerías típicas de muchas apps, incluidas piezas que se parecen a las del SDK de Facebook. Eso ayuda a pasar desapercibido.
Además, parte de la carga maliciosa iba escondida dentro de una imagen PNG, como si fuera un mensaje oculto dentro de una foto. El código se extraía en memoria, se cargaba y luego borraba archivos intermedios para dejar menos rastro, según el desglose técnico de McAfee.
WhatsApp en el centro del golpe
Una vez consigue ese control profundo, el malware puede hacer algo especialmente peligroso, inyectar código cuando abres otras apps. McAfee dice que recuperó una carga diseñada para activarse justo al lanzar WhatsApp, recopilar lo necesario para clonar la sesión y enviarlo a la infraestructura del atacante.
En el informe, McAfee concreta que el robo incluye la base de datos cifrada de WhatsApp y claves vinculadas al protocolo Signal, además de datos de cuenta. Dicho en claro, el cifrado de extremo a extremo protege el contenido cuando viaja entre móviles, pero si alguien se cuela en tu dispositivo y se lleva las “llaves”, el problema cambia de liga.
Por qué los móviles antiguos lo tienen peor
La investigación pone una línea bastante clara. McAfee asegura que los dispositivos con nivel de parche de seguridad del 1 de mayo de 2021 o posterior no eran vulnerables a los exploits que pudieron obtener del servidor de los atacantes, aunque advierte que una app maliciosa puede intentar otras cosas.
En móviles viejos y sin soporte, el panorama empeora. McAfee sitúa el mayor riesgo en Android 7 o inferior, equipos que dejaron de recibir actualizaciones de seguridad de Android en septiembre de 2021, y lanza una frase muy directa sobre el efecto real de un reseteo normal, “a standard factory reset will not remove it”. La explicación es que un restablecimiento borra tus datos, pero no siempre reescribe partes del sistema donde este malware puede esconderse.
Qué hacer si crees que lo has instalado
Lo primero es mirar si tu Android está al día, porque el propio informe se apoya en la idea de que los parches cambian el riesgo de forma drástica. Si tu teléfono puede actualizarse, hacerlo reduce la probabilidad de que estos fallos antiguos sigan siendo una puerta abierta.
Después, conviene pasar una revisión con Google Play Protect y eliminar apps que no reconozcas, aunque vinieran de la tienda oficial. Google explica que Play Protect escanea apps, avisa si detecta comportamiento dañino y, en algunos casos, puede incluso desactivar o retirar automáticamente una app marcada como peligrosa.
Y hay un paso muy de vida real si te preocupa WhatsApp. Revisa tus dispositivos vinculados y activa la verificación en dos pasos, que añade un PIN para dificultar que te “clonen” la cuenta sin más, incluso si alguien intenta mover tu sesión a otro sitio.
El análisis técnico principal se ha publicado en McAfee.
