Rootkit NoVoice infecta millones de Android vía Google Play

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3 de abril de 2026
3 min de lectura
Rootkit NoVoice infecta millones de Android vía Google Play

TL;DR

El sofisticado rootkit NoVoice ha infectado millones de dispositivos Android tras infiltrarse en más de 50 aplicaciones legítimas en Google Play. Utilizando una biblioteca de 22 vulnerabilidades, el malware ataca principalmente versiones antiguas del sistema operativo que carecen de parches de seguridad actualizados.

Infección en varias etapas y explotación de 22 vulnerabilidades

La campaña del rootkit NoVoice representa una amenaza sofisticada que logró evadir los filtros de seguridad de Google Play ocultándose en más de 50 aplicaciones aparentemente inofensivas. Estas apps, que incluían juegos casuales, limpiadores de sistema y herramientas de galería, funcionaban exactamente como el usuario esperaba para evitar cualquier sospecha. Sin embargo, en segundo plano, el malware utilizaba una biblioteca masiva de 22 vulnerabilidades distintas para atacar a millones de dispositivos. Según informes de HotHardware, el rootkit se dirige principalmente a versiones antiguas de Android que carecen de los últimos parches de seguridad.

Para protegerse contra una explotación tan generalizada, los usuarios deben priorizar la seguridad de red y mantener sus sistemas operativos actualizados. La ejecución técnica de NoVoice implica la descarga de una carga útil secundaria una vez que se instala la aplicación de "utilidad" inicial. Esta carga ejecuta la cadena de exploits para obtener acceso de superusuario (root), tomando efectivamente el control de las funciones administrativas del dispositivo.

Clonación de sesiones de WhatsApp y robo de datos

Una de las características más alarmantes del rootkit NoVoice es su capacidad para clonar sesiones de WhatsApp. Al obtener privilegios de root, el malware puede acceder a las carpetas de datos privados de otras aplicaciones instaladas. Esto permite a los atacantes eludir las protecciones estándar de sandbox (entorno de aislamiento) y extraer tokens de sesión confidenciales. Como señala IT Security News, esta capacidad pone a millones de usuarios en riesgo de robo de identidad y exposición de sus comunicaciones privadas.

Para quienes se preocupan por la privacidad móvil, utilizar SquirrelVPN puede proporcionar una capa de defensa esencial al enmascarar el tráfico y prevenir ataques de intermediario (man-in-the-middle), que a menudo se utilizan para facilitar la descarga de cargas útiles secundarias. La persistencia del rootkit se logra modificando las particiones del sistema, lo que lo hace "imposible de eliminar" mediante restablecimientos de fábrica estándar en muchos dispositivos antiguos.

Mecanismos de persistencia y análisis técnico profundo

El rootkit NoVoice emplea una estrategia de persistencia de múltiples capas. Una vez que se logra el acceso root a través de los 22 fallos conocidos, se instala en el directorio /system, que normalmente es de solo lectura. Esto garantiza que, incluso si la aplicación maliciosa original se elimina del menú de aplicaciones de Android, el núcleo del rootkit permanezca activo. El análisis detallado de los agregadores de Google News destaca que el malware a menudo esconde sus archivos de configuración en miniaturas de imágenes inocuas para evadir los escáneres de archivos básicos.

Los detalles técnicos sobre la cadena de explotación indican que el rootkit aprovecha vulnerabilidades en el kernel de Linux y en controladores de hardware específicos. Este nivel de acceso permite al malware:

  • Monitorear todos los paquetes de red entrantes y salientes.
  • Interceptar pulsaciones de teclas mediante editores de métodos de entrada (IME) personalizados.
  • Impedir la instalación de software antivirus o actualizaciones de seguridad.

Para contrarrestar estas amenazas de nivel profundo, es fundamental comprender la tecnología VPN y cómo los túneles cifrados pueden proteger los datos incluso si la red local de un dispositivo está comprometida. La inspección profunda de paquetes por parte de los proveedores de servicios de internet (ISP) o la vigilancia gubernamental puede mitigarse utilizando protocolos de tunelización robustos que NoVoice no puede descifrar fácilmente.

Manténgase a la vanguardia de las últimas amenazas de ciberseguridad y proteja su huella digital con los análisis más recientes de SquirrelVPN. Explore nuestras herramientas y servicios de última generación para mejorar su privacidad en línea hoy mismo.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junio de 2026 4 min de lectura
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Por James Okoro 2 de junio de 2026 4 min de lectura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junio de 2026 5 min de lectura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de mayo de 2026 4 min de lectura
common.read_full_article