Una campaña detectada en Google Play demuestra que desinstalar una app o incluso restaurar el móvil de fábrica puede no ser suficiente cuando el malware logra quedarse dentro del sistema.
Investigadores de McAfee han identificado "NoVoice", una nueva variante de malware para Android que apareció en más de 50 aplicaciones publicadas en Google Play y que acumuló más de 2,3 millones de descargas en conjunto. Las apps infectadas se repartían en categorías muy distintas, incluidas utilidades, galerías de imágenes y juegos, así que no se trataba de un único tipo de aplicación sospechosa que resultara fácil evitar de entrada.
El problema afecta especialmente a dispositivos Android antiguos que no están al día. El malware intentaba aprovechar casi dos docenas de vulnerabilidades diferentes, entre ellas fallos del kernel de tipo use-after-free y errores en controladores Mali GPU. Son vulnerabilidades corregidas entre 2016 y 2021, pero siguen siendo una puerta de entrada real en móviles que continúan funcionando con software desactualizado.
Qué hace NoVoice una vez entra en el móvil
El funcionamiento de NoVoice sigue una secuencia bastante clara. Primero recopila información del dispositivo infectado, como detalles del hardware, la versión del kernel y la versión de Android. Con esos datos, recibe instrucciones adicionales, incluida una estrategia de explotación en una segunda fase. No es un comportamiento genérico analiza el terreno antes de actuar.
Lo más preocupante es su persistencia. El malware instala scripts de recuperación que reemplazan el gestor de fallos del sistema y guardan cargas de respaldo en la partición del sistema. El resultado práctico es que puede sobrevivir a un restablecimiento de fábrica, algo que muchos usuarios consideran la última medida cuando el teléfono empieza a comportarse de forma extraña.
"Este rootkit es altamente persistente; un restablecimiento de fábrica estándar no lo eliminará" - McAfee, investigador de McAfee
Después de asegurar esa permanencia, NoVoice inyecta código malicioso en cada aplicación que se abre en el dispositivo. En el uso diario eso significa que el problema no queda encerrado en una sola app descargada desde Google Play, sino que puede extenderse al resto de la actividad del usuario dentro del teléfono.
Por qué el riesgo va más allá de la app infectada
McAfee destacó de forma específica el impacto sobre WhatsApp. El malware extrae datos sensibles necesarios para replicar la sesión de la víctima, lo que permitiría a los atacantes clonar la cuenta de WhatsApp en su propio dispositivo. Traducido a un caso real alguien podría seguir usando su móvil con normalidad sin saber que su sesión ha sido copiada fuera.
Google ya ha retirado todas las aplicaciones maliciosas de Google Play, pero eso no resuelve por sí solo la situación de quienes ya las instalaron. Mientras esas apps no se eliminen también del dispositivo, los usuarios seguirán comprometidos. Ese matiz es importante la retirada de la tienda corta nuevas infecciones, pero no limpia automáticamente los móviles ya afectados.
Este caso deja una lectura muy concreta para el usuario si se usa un móvil Android antiguo y sin actualizaciones, el riesgo no está solo en instalar una app mala, sino en que esa app aproveche fallos viejos del sistema para quedarse dentro. NoVoice no es simplemente otra aplicación fraudulenta de las que se borran y se olvidan; su valor como amenaza está en que altera de verdad lo que un usuario puede hacer para recuperar el control de su dispositivo.