Rootkit NoVoice en Android: Millones infectados vía Play Store

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3 de abril de 2026
3 min de lectura
Rootkit NoVoice en Android: Millones infectados vía Play Store

TL;DR

El rootkit NoVoice ha infectado millones de dispositivos Android tras ocultarse en más de 50 aplicaciones legítimas en Google Play. El malware aprovecha 22 vulnerabilidades distintas para tomar control de equipos, afectando principalmente a usuarios con versiones de sistema operativo desactualizadas.

Infección en múltiples etapas y explotación de 22 vulnerabilidades

La campaña del rootkit NoVoice representa una amenaza sofisticada que logró evadir los filtros de seguridad de Google Play al ocultarse dentro de más de 50 aplicaciones aparentemente inofensivas. Estas apps, que incluían juegos casuales, limpiadores de sistema y herramientas de galería, funcionaban según lo esperado por el usuario para evitar ser detectadas. Sin embargo, en segundo plano, el malware utilizaba una biblioteca masiva de 22 vulnerabilidades distintas para atacar a millones de dispositivos. Según informes de HotHardware, el rootkit se enfoca principalmente en versiones antiguas de Android que carecen de los parches de seguridad más recientes.

Para protegerse contra una explotación tan generalizada, los usuarios deben priorizar la seguridad de red y mantener sus sistemas operativos actualizados. La ejecución técnica de NoVoice implica la descarga de un segundo paquete de datos maliciosos (payload) una vez que se instala la aplicación de "utilidad" inicial. Este payload ejecuta la cadena de exploits para obtener acceso de superusuario (root), tomando efectivamente el control de las funciones administrativas del dispositivo.

Clonación de sesiones de WhatsApp y robo de datos

Una de las características más alarmantes del rootkit NoVoice es su capacidad para clonar sesiones de WhatsApp. Al obtener privilegios de root, el malware puede acceder a las carpetas de datos privados de otras aplicaciones instaladas. Esto permite a los atacantes eludir las protecciones estándar de "sandbox" (entorno aislado) y extraer tokens de sesión confidenciales. Como señala IT Security News, esta capacidad pone a millones de usuarios en riesgo de robo de identidad y exposición de comunicaciones privadas.

Para quienes se preocupan por la privacidad móvil, utilizar SquirrelVPN puede proporcionar una capa esencial de defensa al enmascarar el tráfico y prevenir ataques de intermediario (man-in-the-middle), que a menudo se utilizan para facilitar la descarga de payloads secundarios. La persistencia del rootkit se logra modificando las particiones del sistema, lo que lo hace "imposible de eliminar" mediante restablecimientos de fábrica convencionales en muchos dispositivos antiguos.

Mecanismos de persistencia y análisis técnico profundo

El rootkit NoVoice emplea una estrategia de persistencia de múltiples capas. Una vez que logra el acceso root a través de las 22 fallas conocidas, se instala en el directorio /system, que normalmente es de solo lectura. Esto garantiza que, incluso si la aplicación maliciosa original se elimina del menú de aplicaciones de Android, el núcleo del rootkit permanezca activo. Análisis detallados de agregadores de Google News destacan que el malware suele ocultar sus archivos de configuración en miniaturas de imágenes (thumbnails) inofensivas para evadir los escáneres básicos del sistema de archivos.

Los detalles técnicos sobre la cadena de explotación indican que el rootkit apunta a vulnerabilidades en el kernel de Linux y en controladores de hardware específicos. Este nivel de acceso permite al malware:

  • Monitorear todos los paquetes de red entrantes y salientes.
  • Interceptar pulsaciones de teclas mediante editores de métodos de entrada (IME) personalizados.
  • Impedir la instalación de software antivirus o actualizaciones de seguridad.

Para contrarrestar estas amenazas de nivel profundo, es fundamental comprender la tecnología VPN y cómo los túneles cifrados pueden proteger los datos incluso si la red local de un dispositivo está comprometida. La inspección profunda de paquetes (DPI) por parte de los proveedores de servicios de internet o la vigilancia gubernamental puede mitigarse mediante el uso de protocolos de tunelización robustos que NoVoice no puede descifrar fácilmente.

Manténgase a la vanguardia de las últimas amenazas de ciberseguridad y proteja su huella digital con la información más reciente de SquirrelVPN. Explore nuestras herramientas y servicios de última generación para mejorar su privacidad en línea hoy mismo.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de lectura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de lectura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de lectura
common.read_full_article