Una sofisticada operación de ciberespionaje ha logrado burlar los filtros de Google Play, logrando que millones de usuarios instalen, sin saberlo, un código malicioso capaz de tomar el control total de sus teléfonos. El malware, identificado por expertos como NoVoice, se distribuyó a través de más de 50 aplicaciones aparentemente inofensivas. Entre los programas infectados se encontraban optimizadores de sistema, galerías de fotos y videojuegos sencillos y una de las más preocupantes: WhatsApp.

El engaño de la legitimidad

Lo que hacía especialmente peligrosa a esta campaña era que las aplicaciones cumplían con lo prometido: el juego funcionaba y el limpiador de archivos ejecutaba su tarea, lo que evitaba levantar sospechas inmediatas entre los más de 2,3 millones de usuarios que las descargaron.

Sin embargo, detrás de esta fachada, NoVoice iniciaba un proceso técnico complejo. Para evitar ser detectado, el atacante utilizó esteganografía, una técnica que consiste en ocultar archivos maliciosos dentro de imágenes comunes (en este caso, un archivo PNG). Una vez que la aplicación se ejecutaba, extraía el código oculto y lo cargaba directamente en la memoria del sistema, borrando cualquier rastro de los archivos temporales.

El objetivo principal de NoVoice es obtener privilegios de superusuario (root). Para lograrlo, el malware no utiliza nuevas vulnerabilidades, sino que recicla fallos de seguridad antiguos en el kernel de Android y en controladores de GPU que fueron parcheados entre 2016 y 2021.

Según los investigadores de McAfee, la capacidad del malware para actuar de forma silenciosa y omnipotente dentro del terminal se evidencia en la forma en la que "el atacante inyecta código controlado en todas las aplicaciones que se ejecutan en el dispositivo".

El robo de identidad en WhatsApp

Aunque NoVoice puede dirigirse a cualquier aplicación, los analistas observaron un interés particular en WhatsApp. Una vez que el dispositivo está bajo su control, el malware extrae las bases de datos de mensajes, las claves de cifrado del protocolo Signal y los detalles de la copia de seguridad en Google Drive.

Con esta información, los atacantes pueden clonar la sesión de la víctima en sus propios servidores, accediendo a conversaciones privadas, contactos y archivos compartidos sin que el usuario reciba una notificación de advertencia.

Aunque Google ya ha retirado las aplicaciones infectadas de su tienda, el riesgo persiste para quienes aún conservan estas herramientas en sus dispositivos. Para mitigar esta amenaza, la recomendación principal es migrar a dispositivos que cuenten con parches de seguridad posteriores a mayo de 2021, ya que las vulnerabilidades explotadas por NoVoice han sido corregidas en versiones modernas.

Pero en general, mantener el sistema actualizado y desconfiar de aplicaciones de desarrolladores desconocidos —incluso dentro de plataformas oficiales— sigue siendo la defensa más eficaz en un ecosistema digital en el que el crimen no descansa.