Más de 50 aplicaciones disponibles en la tienda oficial Google Play Store pusieron en riesgo millones de dispositivos al incluir malware capaz de tomar el control total del celular. La campaña, identificada como NoVoice, explotaba vulnerabilidades antiguas del sistema operativo Android para comprometer smartphones sin que los usuarios lo notaran.
El hallazgo fue realizado por investigadores de McAfee, quienes detectaron que estas aplicaciones —presentadas como herramientas o juegos— acumulaban más de 2,3 millones de descargas. Aunque fueron distribuidas a través de una plataforma oficial, contenían código malicioso diseñado para activarse tras la instalación.
Según el análisis, el ataque aprovechaba fallos de seguridad corregidos entre 2016 y 2021, lo que significa que afectaba principalmente a dispositivos con versiones antiguas del sistema operativo que ya no reciben actualizaciones. Este factor permitió a los ciberdelincuentes explotar debilidades conocidas para ejecutar acciones avanzadas dentro del equipo.
El funcionamiento del malware comenzaba una vez que el usuario abría la aplicación. En ese momento, el software se conectaba en segundo plano con un servidor remoto para descargar un exploit adaptado al modelo del dispositivo y a su versión de Android. Esto le permitía escalar privilegios y tomar el control completo del sistema.
Uno de los aspectos más críticos de la campaña es que el malware lograba sobrescribir una biblioteca central del sistema. Esto hacía que el código malicioso se ejecutara de forma persistente en cada aplicación que el usuario abría, ampliando su capacidad de vigilancia y control. De esta forma, los atacantes podían acceder a información sensible sin necesidad de interacción adicional.
Entre los principales objetivos del ataque se encontraban aplicaciones populares como WhatsApp. El malware era capaz de recolectar datos protegidos, incluyendo bases de datos internas, credenciales y claves relacionadas con protocolos de cifrado como Signal. Con esta información, los ciberdelincuentes podían replicar sesiones de mensajería en otros dispositivos sin autorización del usuario.
Este nivel de acceso representa un riesgo significativo para la privacidad y la seguridad digital, ya que permite interceptar comunicaciones, suplantar identidades y acceder a información personal o laboral. Además, la sofisticación del ataque dificulta su detección, ya que opera de forma silenciosa y sin generar señales evidentes para el usuario.
Otro elemento preocupante es la persistencia del malware. De acuerdo con los investigadores, la infección no se elimina mediante un restablecimiento de fábrica convencional. En su lugar, es necesario reinstalar completamente el firmware del dispositivo, un proceso más complejo que no todos los usuarios pueden realizar sin asistencia técnica.
La campaña NoVoice ha tenido una mayor incidencia en regiones como África —especialmente en países como Etiopía, Argelia y Kenia— y en India, donde existe una mayor proporción de dispositivos con sistemas operativos desactualizados. Sin embargo, su alcance ha sido global, lo que implica que usuarios de distintas partes del mundo podrían haber estado expuestos.
Este caso vuelve a poner en evidencia los riesgos asociados al uso de dispositivos sin soporte de seguridad actualizado. A medida que los fabricantes dejan de ofrecer parches para versiones antiguas, estos equipos se convierten en objetivos más vulnerables para ataques que aprovechan fallos conocidos.
Ante este escenario, los especialistas recomiendan revisar las aplicaciones instaladas, eliminar aquellas de origen desconocido y mantener el sistema operativo actualizado siempre que sea posible. También aconsejan descargar apps únicamente de desarrolladores confiables y prestar atención a los permisos solicitados durante la instalación.
El descubrimiento de esta campaña refuerza la necesidad de adoptar medidas preventivas en un entorno donde las amenazas móviles continúan evolucionando y aprovechando cualquier brecha de seguridad disponible.