Rootkit NoVoice infecta millones de Android vía Google Play

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3 de abril de 2026
3 min de lectura
Rootkit NoVoice infecta millones de Android vía Google Play

TL;DR

El sofisticado rootkit NoVoice ha infectado millones de dispositivos Android tras infiltrarse en más de 50 aplicaciones legítimas en Google Play. Utilizando una biblioteca de 22 vulnerabilidades, el malware ataca principalmente versiones antiguas del sistema operativo que carecen de parches de seguridad actualizados.

Infección en varias etapas y explotación de 22 vulnerabilidades

La campaña del rootkit NoVoice representa una amenaza sofisticada que logró evadir los filtros de seguridad de Google Play ocultándose en más de 50 aplicaciones aparentemente inofensivas. Estas apps, que incluían juegos casuales, limpiadores de sistema y herramientas de galería, funcionaban exactamente como el usuario esperaba para evitar cualquier sospecha. Sin embargo, en segundo plano, el malware utilizaba una biblioteca masiva de 22 vulnerabilidades distintas para atacar a millones de dispositivos. Según informes de HotHardware, el rootkit se dirige principalmente a versiones antiguas de Android que carecen de los últimos parches de seguridad.

Para protegerse contra una explotación tan generalizada, los usuarios deben priorizar la seguridad de red y mantener sus sistemas operativos actualizados. La ejecución técnica de NoVoice implica la descarga de una carga útil secundaria una vez que se instala la aplicación de "utilidad" inicial. Esta carga ejecuta la cadena de exploits para obtener acceso de superusuario (root), tomando efectivamente el control de las funciones administrativas del dispositivo.

Clonación de sesiones de WhatsApp y robo de datos

Una de las características más alarmantes del rootkit NoVoice es su capacidad para clonar sesiones de WhatsApp. Al obtener privilegios de root, el malware puede acceder a las carpetas de datos privados de otras aplicaciones instaladas. Esto permite a los atacantes eludir las protecciones estándar de sandbox (entorno de aislamiento) y extraer tokens de sesión confidenciales. Como señala IT Security News, esta capacidad pone a millones de usuarios en riesgo de robo de identidad y exposición de sus comunicaciones privadas.

Para quienes se preocupan por la privacidad móvil, utilizar SquirrelVPN puede proporcionar una capa de defensa esencial al enmascarar el tráfico y prevenir ataques de intermediario (man-in-the-middle), que a menudo se utilizan para facilitar la descarga de cargas útiles secundarias. La persistencia del rootkit se logra modificando las particiones del sistema, lo que lo hace "imposible de eliminar" mediante restablecimientos de fábrica estándar en muchos dispositivos antiguos.

Mecanismos de persistencia y análisis técnico profundo

El rootkit NoVoice emplea una estrategia de persistencia de múltiples capas. Una vez que se logra el acceso root a través de los 22 fallos conocidos, se instala en el directorio /system, que normalmente es de solo lectura. Esto garantiza que, incluso si la aplicación maliciosa original se elimina del menú de aplicaciones de Android, el núcleo del rootkit permanezca activo. El análisis detallado de los agregadores de Google News destaca que el malware a menudo esconde sus archivos de configuración en miniaturas de imágenes inocuas para evadir los escáneres de archivos básicos.

Los detalles técnicos sobre la cadena de explotación indican que el rootkit aprovecha vulnerabilidades en el kernel de Linux y en controladores de hardware específicos. Este nivel de acceso permite al malware:

  • Monitorear todos los paquetes de red entrantes y salientes.
  • Interceptar pulsaciones de teclas mediante editores de métodos de entrada (IME) personalizados.
  • Impedir la instalación de software antivirus o actualizaciones de seguridad.

Para contrarrestar estas amenazas de nivel profundo, es fundamental comprender la tecnología VPN y cómo los túneles cifrados pueden proteger los datos incluso si la red local de un dispositivo está comprometida. La inspección profunda de paquetes por parte de los proveedores de servicios de internet (ISP) o la vigilancia gubernamental puede mitigarse utilizando protocolos de tunelización robustos que NoVoice no puede descifrar fácilmente.

Manténgase a la vanguardia de las últimas amenazas de ciberseguridad y proteja su huella digital con los análisis más recientes de SquirrelVPN. Explore nuestras herramientas y servicios de última generación para mejorar su privacidad en línea hoy mismo.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Noticias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de lectura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de lectura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de lectura
common.read_full_article