Más de 50 aplicaciones presentes en Google Play pusieron en riesgo millones de dispositivos Android con versiones obsoletas con la campaña identificada como NoVoice, que explotaba vulnerabilidades antiguas para tomar el control de los smartphones.
La operación NoVoice, detectada por el equipo de investigación móvil de McAfee, aprovechaba vulnerabilidades antiguas del sistema operativo Android, para las que se lanzaron parches entre 2016 y 2021.
Su distribución a través de la tienda oficial Play Store de Google se hizo en la forma de aplicaciones de utilidades o juegos que contenían la carga útil maliciosa. En conjunto, se identificaron 50 que llegaron a acumular mas de 2,3 millones de descargas.
Una vez el usuario abría la aplicación maliciosa, esta se conectaba en segundo plano con un servidor para obtener el exploit que le permitía tomar el control completo del dispositivo adaptado al modelo y la versión de software, según explicaron en el blog de la compañía a cargo de la investigación.
El malware sobrescribía una biblioteca central del sistema, lo que hacía que el código malicioso se ejecutara en cada una de las aplicaciones que abre el usuario y abriera la puerta a la extracción de datos, centrando gran parte de sus ataques en aplicaciones populares como WhatsApp.
El software malicioso recolectaba información sensible como bases de datos protegidas, claves del protocolo Signal y datos de las cuentas, lo que facilitaba a los ciberdelincuentes replicar sesiones de WhatsApp en dispositivos distintos sin autorización.
Según los investigadores, la infección no se elimina con el restablecimiento de fábrica, sino que requiere instalar de nuevo el firmware.
La campaña ha tenido una mayor prevalencia en países de África como Etiopía, Argelia y Kenia, e India, debido a la mayor cantidad de dispositivos antiguos con sistemas operativos obsoletos que ya no reciben actualizaciones de seguridad, aunque el alcance ha sido global.
*Con información de Europa Press.