Investigadores de seguridad han destapado una campaña sofisticada dirigida a dispositivos Android que llegó a camuflarse dentro de la tienda oficial de aplicaciones. Según el análisis publicado por McAfee Labs, más de cincuenta aplicaciones legítimas —desde limpiadores y galerías de fotos hasta juegos— ocultaban un conjunto de componentes maliciosos que el equipo bautizó como NoVoice y que, en conjunto, fueron descargados al menos 2,3 millones de veces desde Google Play. Lo más inquietante no fue la apariencia de las apps, sino la agresividad y el nivel técnico del malware que se activaba una vez instalado. (informe de McAfee).
Las aplicaciones infectadas pedían permisos normales y cumplían la función prometida en pantalla, lo que facilitó su distribución. Tras abrir cualquiera de esas apps, el código malicioso iniciaba una secuencia de comprobaciones para determinar si el dispositivo era un objetivo válido: excluía ciertas regiones geográficas —por ejemplo áreas concretas en China— y realizaba más de una docena de verificaciones para detectar emuladores, depuradores y conexiones VPN. Cuando las condiciones parecían favorables, el malware procedía a descargar de forma periódica componentes adicionales desde un servidor de control y a probar una batería de exploits específicos del kernel y de drivers para conseguir privilegios de root; McAfee documentó hasta 22 exploits diferentes, algunos de ellos basados en vulnerabilidades tipo use‑after‑free y fallos en drivers GPU Mali que ya tenían parches publicados entre 2016 y 2021 (boletín de seguridad de Android, mayo 2021).
Una vez alcanzado el root, NoVoice dejaba de ser simplemente una app maliciosa: sustituía librerías críticas del sistema por envoltorios («wrappers») que interceptaban llamadas y redirigían la ejecución hacia código de ataque. También instalaba múltiples mecanismos de persistencia, como scripts de recuperación, un reemplazo del manejador de fallos del sistema que actúa como cargador del rootkit y copias de respaldo en la partición del sistema. Eso significa que el software malicioso puede sobrevivir incluso a un restablecimiento de fábrica porque las particiones que lo alojan no se borran con esa operación. Además, un demonio de vigilancia ejecutado cada minuto verifica la integridad del rootkit y, si detecta modificaciones, fuerza reinicios para reactivar la infección (documentación de SELinux en Android).
El vector de entrega de los componentes adicionales era igualmente ingenioso: los atacantes ocultaron un payload cifrado dentro de una imagen PNG usando técnicas de esteganografía; ese archivo encubierto se extraía en memoria como un APK y todos los ficheros intermedios eran eliminados para dificultar la reconstrucción forense. El paquete malicioso se escondía dentro del espacio de nombres de la app en clases con nombres similares al SDK de Facebook, lo que ayudaba a camuflar los artefactos maliciosos entre código legítimo (ver detalles técnicos en McAfee).
Con el dispositivo ya en manos de los atacantes, NoVoice desplegaba módulos que se inyectaban en cualquier aplicación que el usuario abriese. Entre las capacidades observadas había la instalación silenciosa y la eliminación de apps sin interacción del propietario, y un componente diseñado para operar dentro de cualquier app con acceso a Internet para extraer datos sensibles. McAfee documentó un foco claro en la mensajería: cuando detectaba el lanzamiento de WhatsApp, el rootkit exfiltraba bases de datos de la aplicación, las claves del protocolo Signal utilizadas por WhatsApp y otros identificadores que permiten clonar una sesión. Con esos artefactos, los atacantes pueden replicar la cuenta de la víctima en otro dispositivo y así interceptar mensajes y contactos (información de seguridad de WhatsApp).
Los investigadores no consiguieron atribuir la operación a un grupo concreto, aunque señalaron similitudes técnicas con familias de malware previas como Triada, conocida por su capacidad de implantarse a nivel sistémico en dispositivos Android. La arquitectura modular de NoVoice permite, en teoría, la sustitución del módulo de WhatsApp por otros dirigidos a distintas aplicaciones o servicios. Para más contexto sobre amenazas similares, puede consultarse la entrada de Kaspersky sobre Triada (Triada en Kaspersky).
Google retiró las aplicaciones señaladas de Google Play tras la notificación de McAfee, que forma parte de la App Defense Alliance, una iniciativa para reforzar la revisión de apps dentro de la tienda. Sin embargo, el simple hecho de que estas apps llegaran a millones de descargas subraya un riesgo real: quienes instalaron alguna de las aplicaciones afectadas deberían asumir que su dispositivo queda comprometido. Una restauración estándar podría no ser suficiente; en muchos casos será necesario acudir al fabricante para re‑flashear el firmware o recibir soporte especializado. Para usuarios que quieran minimizar el riesgo inmediato, las medidas pasan por actualizar el sistema a la última versión de seguridad disponible y evitar instalar aplicaciones fuera de fuentes de confianza. Google y otros proveedores recomiendan mantenerse en modelos con soporte activo y aplicar los parches de seguridad mensuales que cierran las vulnerabilidades explotadas por NoVoice (consejos de protección para Android y acerca de la App Defense Alliance).
Si crees que tu teléfono pudo verse afectado por NoVoice, conviene no intentar operaciones complejas sin asesoramiento: cambia contraseñas críticas desde un dispositivo limpio y revisa medidas adicionales como la verificación en dos pasos para servicios como WhatsApp, y contacta con el fabricante o un servicio técnico de confianza para valorar la reinstalación forense del sistema. Cuando la amenaza implica persistencia a nivel de sistema, la única garantía de limpieza completa suele ser reemplazar o re‑flashear el firmware con imágenes oficiales. Asimismo, este caso es un recordatorio de que ninguna tienda oficial es infalible: la prudencia al instalar aplicaciones, aun en Google Play, y la atención a las actualizaciones de seguridad siguen siendo las mejores defensas contra amenazas cada vez más hábiles.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...