El virus NoVoice se ha instalado de forma permanente en Android: ni siquiera un restablecimiento de fábrica lo elimina.
¿Compraste un móvil barato? Entonces tu WhatsApp ya está en manos de hackers.
En Google Play se encontraron decenas de aplicaciones que ocultaban un conjunto peligroso de módulos maliciosos para Android. A simple vista esos programas parecían inofensivos: limpiadores, juegos, utilidades para galería. Tras iniciarse, las aplicaciones funcionaban como prometían y no despertaban sospechas, pero en segundo plano contactaban con un servidor remoto, buscían un método de intrusión adaptado a un modelo de teléfono concreto y, si tenían éxito, obtenían control total sobre el dispositivo.
La campaña fue divulgada por McAfee. Los especialistas llamaron a la operación NoVoice. Según sus datos, las aplicaciones maliciosas explotaban vulnerabilidades antiguas de Android, para las cuales Google publicó correcciones entre 2016 y 2021. Los dispositivos con el nivel de parche de seguridad del 1 de mayo de 2021 y posteriores no son vulnerables a los métodos de intrusión que se obtuvieron desde el servidor de control. No obstante, las aplicaciones infectadas podían descargar otros módulos, por lo que no se puede descartar por completo el riesgo para quienes ya instalaron tales programas.
McAfee identificó más de 50 aplicaciones maliciosas que en conjunto se descargaron al menos 2,3 millones de veces. Tras el informe de la empresa, Google eliminó los programas de Google Play y bloqueó las cuentas de desarrolladores relacionadas.
Tras el primer inicio, la aplicación recopilaba información del dispositivo y descargaba un conjunto de módulos adecuado para el modelo del teléfono, la versión del sistema y otros parámetros. Si la cadena funcionaba, el programa malicioso obtenía privilegios de superusuario e incrustaba código en las bibliotecas del sistema Android. Tras esa intervención, los atacantes podían ejecutar su código dentro de casi cualquier aplicación en el teléfono.
Una de las tareas encontradas estaba dirigida a WhatsApp. El módulo malicioso recopilaba los datos necesarios para clonar una sesión, incluidas claves, identificadores e información del almacenamiento local, y luego enviaba la información al servidor de los atacantes. Según la estimación de McAfee, dicho conjunto de datos permitía trasladar la sesión de WhatsApp de otra persona a otro dispositivo.
La parte más preocupante está relacionada con la persistencia de la infección. En teléfonos antiguos con Android 7 y versiones anteriores, que ya no reciben actualizaciones de seguridad, el programa malicioso podía sobrevivir incluso a un restablecimiento de fábrica. La limpieza habitual borraba los datos de usuario, pero no tocaba los archivos del sistema modificados. La única forma de limpiar completamente el teléfono es instalar una imagen de firmware limpia.
Para ocultarse, los autores de la campaña emplearon varios trucos. El código malicioso se ocultaba dentro de archivos de imagen, donde, tras el final de la imagen habitual, se añadía una carga cifrada. En las propias aplicaciones no había permisos sospechosos, y los componentes maliciosos se disfrazaban de partes de bibliotecas conocidas. Antes de proseguir el ataque, la cadena comprobaba si la aplicación no se ejecutaba en un entorno de análisis, si no había un depurador en funcionamiento, o si no se estaba usando un emulador o un proxy.
Tras arraigarse en el sistema, el programa malicioso se comunicaba con la infraestructura de control aproximadamente una vez por minuto, descargaba nuevos módulos y podía restaurar sus propios componentes si alguien intentaba eliminar la infección. Un proceso separado vigilaba la integridad de la instalación y, en caso de fallos, desplegaba de nuevo las partes necesarias. En esencia, se trata de una plataforma plenamente ensamblada que puede utilizarse para tareas muy diversas, no solo para robar datos de WhatsApp.
NoVoice muestra rasgos de parentesco con la familia Android.Triada. Los autores del informe no afirman una continuación directa de la campaña anterior, pero señalan métodos similares de persistencia en el sistema y rasgos comunes en el código.
Las mayores tasas de infección se registraron en Nigeria, Etiopía, Argelia, India y Kenia. McAfee relaciona el panorama con la abundancia de dispositivos económicos y versiones antiguas de Android que llevan tiempo sin recibir correcciones de seguridad. Se recomienda a los usuarios de Android comprobar el nivel del parche de seguridad, eliminar aplicaciones sospechosas y no confiar en un simple restablecimiento si hay indicios de infección en un dispositivo antiguo. En ese caso, la opción fiable es la reprogramación completa del dispositivo.