Nada nuevo en Android. Una nueva amenaza se ha colado en millones de dispositivos Android sin que los usuarios se hayan dado cuenta, se trata del rootkit NoVoice que fue detectado en más de 50 aplicaciones que se distribuían legalmente desde Google Play Store. Este descubrimiento ha despertado la preocupación entre los expertos de ciberseguridad, ya que su infección podría haber alcanzado los 2,3 millones de dispositivos.
Lo más preocupante del malware NoVoice es su sofisticación para evitar ser detectado. Las aplicaciones infectadas se disfrazaban de herramientas cotidianas como limpiadores de sistema, juegos casuales o galerías de imágenes lo que facilitaba la instalación en los dispositivos. Según los investigadores de McAfee, el código malicioso llevaba mese activo antes de ser identificado y retirado de la plataforma.
Cómo el rootkit NoVoice infecta los dispositivos Android
El malware estaba aprovechando las vulnerabilidad en las versiones antiguas de Android, vulnerabilidades que muchos fabricantes no corrigieron. Una vez que el usuario instalaba la aplicación, el malware se encargaba de explotar la falla de seguridad para hacerse con privilegios avanzados del sistema y tomar el control total del dispositivo.
Lo que hace especialmente peligroso al malware NoVoice es que su código se escondía detrás de archivos de imágenes que parecen gráficos normales, este mecanismo burla por completo la revisión automática de la Play Store.
NoVoice puede permanecer activo de forma permanente en dispositivos Android antiguos que no han recibido actualizaciones de seguridad durante años
Una vez dentro del sistema, el malware NoVoice actúa como un rootkit que se encarga de sobrescribir bibliotecas del sistema operativo. Esto significa que este malware se integra a un nivel profundo que resulta extremadamente difícil de eliminar.
En los dispositivos más antiguos que no cuentan con soporte oficial, ni siquiera con un restablecimiento de fábrica se puede eliminar por completo. En esto casos en concreto, la única solución efectiva es la reinstalación del firmware de forma manual.
WhatsApp, el objetivo principal del ataque
El robo de datos sensibles es la finalidad de los atacantes detrás de NoVoice, la aplicación WhatsApp se ha convertido en el blanco prioritario. Según los análisis realizados por McAfee, se han detectado módulos específicos que se encargan de leer las sesiones activas de la aplicación de mensajería, justo cuando el usuario inicia.
Los módulos se encargan de copiar claves de autenticación y metadatos necesarios para clonar la cuenta completa de la víctima en otros dispositivos. Esto les permite a los atacantes, enviar mensajes, espiar los contactos e iniciar estafas suplantando identidades de los usuarios afectados.
Qué dispositivos están en mayor riesgo
Los dispositivos Android antiguos son los más vulnerables a este malware, ya que sus fabricantes ya no brindan soporte oficial de actualizaciones. En uno de estos dispositivos, el malware puede trabajar sin restricciones, lo que multiplica el riesgo del robo de los datos sensibles almacenados.
Como era de esperarse, Google ya ha confirmado que todas las aplicaciones vinculadas a este malware ya han sido eliminadas definitivamente de su tienda de aplicaciones. Como recomendación es importante revisar la última actualización de seguridad, echar un vistazo a las aplicaciones instaladas y finalmente, considerar migrar a un teléfono con soporte oficial.