Un nuevo malware para Android llamado **NoVoice** fue encontrado en **Google Play**, oculto en más de 50 aplicaciones que fueron descargadas al menos 2.3 millones de veces. Las aplicaciones que portaban el payload malicioso incluían limpiadores, galerías de imágenes y juegos. No requerían permisos sospechosos y proporcionaban la funcionalidad prometida. Tras lanzar una aplicación infectada, el malware intentaba obtener acceso root en el dispositivo explotando vulnerabilidades antiguas de Android que recibieron parches entre 2016 y 2021. Investigadores de la empresa de ciberseguridad **McAfee** descubrieron la operación NoVoice pero no pudieron vincularla a un actor de amenaza específico. Sin embargo, destacaron que el malware compartía similitudes con el troyano de Android **Triada**.  ### Cadena de Infección de NoVoice Según los investigadores de **McAfee**, el actor de amenaza ocultó componentes maliciosos en el paquete *com.facebook.utils*, mezclándolos con las clases legítimas del SDK de **Facebook**. Un payload encriptado (enc.apk) oculto dentro de un archivo de imagen PNG usando esteganografía es extraído (*h.apk*) y cargado en la memoria del sistema mientras se eliminan todos los archivos intermedios para eliminar rastros. **McAfee** señala que el actor de amenaza evita infectar dispositivos en ciertas regiones, como Beijing y Shenzhen en China, e implementó 15 verificaciones para emuladores, depuradores y VPNs. Si los permisos de ubicación no están disponibles, el malware continúa la cadena de infección.  Luego, el malware contacta al servidor de comando y control (C2) y recopila información del dispositivo como detalles de hardware, versión del kernel, versión de Android (y nivel de parche), aplicaciones instaladas y estado de root, para determinar la estrategia de exploit. A continuación, el malware consulta al C2 cada 60 segundos y descarga varios componentes para exploits específicos del dispositivo diseñados para obtener acceso root en el sistema de la víctima. Los investigadores crearon un mapa de la cadena de infección desde la etapa de entrega hasta la fase de inyección.  **McAfee** dice que observó 22 exploits, incluyendo bugs de kernel use-after-free y fallos en el driver de GPU Mali. Estos exploits otorgan a los operadores una shell root y les permiten deshabilitar la aplicación de SELinux en el dispositivo, eliminando efectivamente sus protecciones de seguridad fundamentales. Después de obtener acceso root al dispositivo, bibliotecas clave del sistema como *libandroid_runtime.so* y *libmedia_jni.so* son reemplazadas por wrappers enganchados que interceptan llamadas al sistema y redirigen la ejecución a código de ataque. El rootkit establece múltiples capas de persistencia, incluyendo la instalación de scripts de recuperación, el reemplazo del manejador de fallos del sistema con un cargador de rootkit y el almacenamiento de payloads de respaldo en la partición del sistema. Debido a que esa parte del almacenamiento del dispositivo no se borra durante un restablecimiento de fábrica, el malware persistirá incluso después de una limpieza agresiva. Un demonio de vigilancia se ejecuta cada 60 segundos para verificar la integridad del rootkit y reinstala automáticamente los componentes faltantes. Si las verificaciones fallan, fuerza el reinicio del dispositivo, haciendo que el rootkit se recargue. ### Robo de Datos de WhatsApp Durante la fase de post-explotación, el código controlado por el atacante se inyecta en cada aplicación lanzada en el dispositivo. Se implementan dos componentes principales: uno que permite la instalación o eliminación silenciosa de aplicaciones, y otro que opera dentro de cualquier aplicación con acceso a internet. Este último sirve como un mecanismo principal de robo de datos, y **McAfee** observó que se dirigía principalmente a la aplicación de mensajería **WhatsApp**. Cuando **WhatsApp** se lanza en un dispositivo infectado, el malware extrae datos sensibles necesarios para replicar la sesión de la víctima, incluyendo bases de datos de encriptación, las claves del protocolo Signal y identificadores de cuenta como el número de teléfono y los detalles de copia de seguridad de **Google Drive**. Esta información se exfiltra al C2, permitiendo a los atacantes clonar la sesión de WhatsApp de la víctima en su propio dispositivo.  Los investigadores señalaron que, aunque solo recuperaron un payload enfocado en **WhatsApp**, el diseño modular de **NoVoice** hace que sea técnicamente posible haber utilizado otros payloads dirigidos a cualquier aplicación en el dispositivo. Las aplicaciones maliciosas de Android que portaban payloads de **NoVoice** han sido eliminadas de **Google Play** después de que **McAfee**, miembro de la App Defense Alliance, las reportara a **Google**. Sin embargo, los usuarios que las hayan instalado previamente deben considerar sus dispositivos y datos como comprometidos. Dado que **NoVoice** se dirige a fallos corregidos hasta mayo de 2021, actualizar a un dispositivo que ejecute un parche de seguridad posterior mitiga eficazmente esta amenaza en su forma actual. Se recomienda a los usuarios de Android que actualicen a modelos activamente soportados y solo instalen aplicaciones de publicadores confiables y conocidos, incluso en **Google Play**.