Los engaños digitales no cesan y cada vez son más sofisticados los ataques detectados por expertos en ciberseguridad, quienes buscan alertar a los usuarios para evitar estafas y fraudes que pueden tener graves consecuencias. Ese es el caso de una investigación realizada por McAfee y publicada en marzo de 2026, en la que se expone un peligroso malware diseñado para dispositivos Android.

Sale a la luz peligrosa estafa que vacía cuentas bancarias en segundos con una simple invitación

Según explicó la compañía, se trata de una campaña masiva llamada Operación NoVoice, distribuida a través de más de 50 aplicaciones disponibles en Google Play que se hacían pasar por herramientas cotidianas, juegos y apps de fotografía.

Las aplicaciones fueron descargadas más de 2,3 millones de veces y representaban una amenaza significativa, ya que el malware podía tomar el control total del dispositivo, acceder a información sensible e inyectar código malicioso en otras aplicaciones.

Además, en celulares Android antiguos o desactualizados, la infección podía mantenerse incluso después de restaurar el equipo de fábrica, funcionando como una especie de “zombie” digital en segundo plano.

¿Por qué se llama Operación NoVoice?

El nombre proviene de un componente oculto detectado dentro del malware. Los investigadores encontraron un archivo llamado “novioce”, encargado de reproducir audio silencioso en segundo plano y a volumen cero.

Este mecanismo permitía mantener activo el servicio malicioso sin despertar sospechas ni afectar el funcionamiento normal del sistema operativo.

La Operación NoVoice es una campaña de malware tipo 'rootkit' dirigida a dispositivos Android. Foto: Getty Images

Así funciona el malware que se camuflaba en aplicaciones

El software fue diseñado para obtener control total del celular sin que el usuario lo note. Se trata de un malware tipo rootkit, capaz de actuar con privilegios de administrador y ocultarse incluso de las herramientas de seguridad del sistema.

El ataque comenzaba con aplicaciones aparentemente inofensivas publicadas en Google Play, como juegos, limpiadores o utilidades de galería. Aunque funcionaban con normalidad, en segundo plano se conectaban a servidores controlados por ciberdelincuentes para recopilar información del dispositivo y enviar código malicioso adaptado a cada equipo.

Si la infección tenía éxito, el malware obtenía acceso profundo al sistema, lo que le permitía modificar archivos esenciales e instalar componentes adicionales. También alteraba bibliotecas centrales del sistema para ejecutar código malicioso dentro de cualquier aplicación abierta por el usuario, incluidas apps bancarias, redes sociales y servicios de mensajería.

Este malware opera por debajo de las aplicaciones y defensas normales del teléfono. Foto: Getty Images

Uno de los aspectos más peligrosos era su capacidad para permanecer activo incluso después de reiniciar o restaurar el teléfono de fábrica, debido a que modificaba partes del sistema que normalmente no se reemplazan. En algunos casos, la única solución era reinstalar completamente el firmware del dispositivo.

No obstante, las aplicaciones relacionadas con esta campaña ya fueron eliminadas de Google Play y actualmente no están disponibles para descarga.