Una operación masiva de malware para Android conocida como 'NoVoice' ha infectado al menos 2,3 millones de dispositivos mediante más de 50 aplicaciones de apariencia legítima en la Google Play Store, según informa BleepingComputer.
La campaña maliciosa utilizó diversas aplicaciones, incluyendo galerías de imágenes, limpiadores de sistema y juegos, para distribuir su carga útil. Según el informe, estas apps cumplían con la funcionalidad prometida y no solicitaban permisos sospechosos, lo que dificultaba su detección por parte de los usuarios.
Investigadores de la firma de ciberseguridad McAfee descubrieron la operación. Aunque no pudieron vincular el ataque a un actor de amenazas específico, señalaron que el malware comparte características con el conocido troyano para Android Triada.
Compromiso profundo del sistema
El malware emplea una sofisticada cadena de infección para tomar el control del dispositivo. Oculta componentes maliciosos dentro del paquete 'com.facebook.utils', mezclándolos con clases legítimas del SDK de Facebook. Los atacantes también utilizan esteganografía para esconder una carga útil cifrada dentro de un archivo de imagen PNG.
Una vez en ejecución, NoVoice intenta obtener acceso root explotando vulnerabilidades de Android que fueron parcheadas entre 2016 y 2021. Los investigadores de McAfee observaron el uso de 22 exploits distintos, incluyendo fallos en el controlador de la GPU Mali y errores de tipo 'use-after-free' en el kernel.
Tras lograr el acceso root, el malware desactiva la aplicación de SELinux y reemplaza librerías críticas del sistema, como libandroid_runtime.so, con 'wrappers' interceptores. Estos wrappers capturan las llamadas al sistema para redirigir la ejecución hacia el código malicioso.
El malware está diseñado para una persistencia extrema. Instala scripts de recuperación y reemplaza el gestor de errores del sistema con un cargador de rootkit. Debido a que partes del malware se almacenan en la partición del sistema, la infección puede sobrevivir incluso a un restablecimiento de fábrica.
Un demonio de vigilancia (watchdog daemon) se ejecuta cada 60 segundos para asegurar la integridad del rootkit. Si este demonio detecta que algún componente ha sido manipulado, fuerza el reinicio del dispositivo para recargar el rootkit.
Para evitar ser detectado, el malware realiza 15 comprobaciones distintas en busca de emuladores, VPNs y depuradores. Los atacantes también evitan específicamente infectar dispositivos ubicados en ciertas regiones, como Shenzhen y Beijing en China.
El objetivo principal de la fase de post-explotación es el robo de datos, centrándose específicamente en WhatsApp. El malware inyecta código en cada aplicación que se inicia en el dispositivo y monitorea cualquier app con acceso a internet.
Cuando un usuario abre WhatsApp, el malware extrae bases de datos de cifrado, claves del protocolo Signal e identificadores de cuenta, como números de teléfono y detalles de copias de seguridad en Google Drive. Esto permite a los atacantes replicar la sesión de WhatsApp de la víctima en su propio hardware.
