Una sofisticada operació de ciberespionatge ha aconseguit burlar els filtres de Google Play, aconseguint que milions d'usuaris instal·lin, sense saber-ho, un codi maliciós capaç de prendre el control total dels seus telèfons. El malware, identificat per experts com NoVoice, es va distribuir a través de més de 50 aplicacions aparentment inofensives. Entre els programes infectats hi havia optimitzadors de sistema, galeries de fotos i videojocs senzills i una de les més preocupants: WhatsApp.
L'engany de la legitimitat
El que feia especialment perillosa aquesta campanya era que les aplicacions complien amb el que prometien: el joc funcionava i el netejador de fitxers executava la seva tasca, cosa que evitava aixecar sospites immediates entre els més de 2,3 milions d'usuaris que les van descarregar.
Tanmateix, darrere d'aquesta façana, NoVoice iniciava un procés tècnic complex. Per evitar ser detectat, l'atacant va utilitzar esteganografia, una tècnica que consisteix a ocultar fitxers maliciosos dins d'imatges comunes (en aquest cas, un fitxer PNG). Una vegada que l'aplicació s'executava, extreia el codi ocult i el carregava directament a la memòria del sistema, esborrant qualsevol rastre dels fitxers temporals.
L'objectiu principal de NoVoice és obtenir privilegis de superusuari (root). Per aconseguir-ho, el programari maliciós no utilitza noves vulnerabilitats, sinó que recicla errors de seguretat antics en el kernel d'Android i en controladors de GPU que van ser pegats entre 2016 i 2021.
Segons els investigadors de McAfee, la capacitat del programari maliciós per actuar de manera silenciosa i omnipotent dins del terminal s'evidencia en la manera en què "l'atacant injecta codi controlat en totes les aplicacions que s'executen en el dispositiu".
El robatori d'identitat a WhatsApp
Tot i que NoVoice pot dirigir-se a qualsevol aplicació, els analistes van observar un interès particular en WhatsApp. Una vegada que el dispositiu està sota el seu control, el malware extreu les bases de dades de missatges, les claus de xifratge del protocol Signal i els detalls de la còpia de seguretat a Google Drive.
Amb aquesta informació, els atacants poden clonar la sessió de la víctima en els seus propis servidors, accedint a converses privades, contactes i fitxers compartits sense que l'usuari rebi una notificació d'advertiment.
Tot i que Google ja ha retirat les aplicacions infectades de la seva botiga, el risc persisteix per a aquells que encara conserven aquestes eines en els seus dispositius. Per a mitigar aquesta amenaça, la recomanació principal és migrar a dispositius que comptin amb pegats de seguretat posteriors el maig de 2021, ja que les vulnerabilitats explotades per NoVoice han estat corregides en versions modernes.
Però en general, mantenir el sistema actualitzat i desconfiar d'aplicacions de desenvolupadors desconeguts —fins i tot dins de plataformes oficials— continua sent la defensa més eficaç en un ecosistema digital en què el crim no descansa.