Un nuovo caso di malware Android torna a far parlare perché non si limita a mostrare pubblicità o rallentare il telefono, ma in certe condizioni riesce a restare nel dispositivo anche dopo un normale ripristino ai dati di fabbrica.
Il nome con cui viene indicato è NoVoice e secondo le ricostruzioni emerse in questi giorni sarebbe stato distribuito attraverso più di 50 app pubblicate sul Google Play Store, per un totale di circa 2,3 milioni di download. La particolarità del caso è che non si tratta del classico malware che si comporta in modo vistoso appena installato. Al contrario, prova a passare inosservato, sfrutta falle già note di Android presenti soprattutto su dispositivi vecchi o non aggiornati e, nei casi peggiori, può ottenere privilegi molto elevati sul telefono.
È proprio questo l’aspetto che rende la vicenda più seria del solito. Su alcuni smartphone più datati o privi di patch recenti, il malware può installare componenti persistenti che resistono persino al reset di fabbrica. In pratica, il telefono può sembrare ripulito, ma il codice malevolo riesce a tornare attivo dopo il riavvio perché si annida in parti più profonde del sistema.
Perché questo malware preoccupa più di altri
Secondo l’analisi pubblicata dai ricercatori che hanno individuato la campagna, NoVoice ha sfruttato circa venti vulnerabilità note, in particolare su dispositivi che non hanno ricevuto gli aggiornamenti di sicurezza tra il 2016 e il 2021. Una volta installato, può raccogliere informazioni sul dispositivo, avviare una seconda fase dell’attacco e inserire script di persistenza. I ricercatori spiegano anche che il malware può iniettare codice nelle app in uso, con l’obiettivo di sottrarre dati e sessioni utente. È questo il salto di qualità che distingue il caso da tante altre infezioni Android più superficiali.
Va però fatta una precisazione importante. I dispositivi Android più recenti e aggiornati non risultano vulnerabili allo stesso exploit di root osservato in questa campagna. Questo non significa che siano immuni a ogni rischio, ma riduce molto la possibilità che il malware riesca a insediarsi nella forma più difficile da rimuovere. In altre parole, il pericolo più serio riguarda soprattutto i telefoni più vecchi, abbandonati dagli aggiornamenti o rimasti indietro con le patch di sicurezza.
Cosa fare subito se si ha un dubbio
La prima cosa da fare è controllare se il telefono riceve ancora gli aggiornamenti di sicurezza e installarli immediatamente. Google ricorda che da Android è possibile verificare la presenza di update di sicurezza e aggiornamenti di sistema direttamente dalle impostazioni del dispositivo. Se il telefono è molto datato e non viene più aggiornato, il rischio cresce perché molte delle falle sfruttate da questa campagna sono vecchie e già corrette sui modelli più recenti.
Un altro punto da non sottovalutare è la rimozione delle app sospette. Anche se le applicazioni coinvolte sono state eliminate dallo store, chi le ha già installate deve comunque intervenire manualmente sul proprio dispositivo. Nei casi peggiori, però, la semplice disinstallazione o il reset standard potrebbero non bastare sui modelli più esposti. Ed è proprio qui che la prevenzione diventa più importante della correzione: tenere il telefono aggiornato, evitare app poco affidabili e non rimandare le patch resta la difesa più concreta.
La vera lezione di questo caso
Il punto più utile da capire non è solo che esiste un nuovo malware Android, ma che il livello di rischio cambia molto in base all’età del telefono. Un dispositivo recente, ancora supportato e con Play Protect attivo, si trova in una posizione molto diversa rispetto a uno smartphone vecchio rimasto senza aggiornamenti da anni. Ed è proprio questa distanza tra telefoni “ancora vivi” e telefoni ormai fuori ciclo a trasformare una notizia di sicurezza in un problema reale per milioni di utenti.
Alla fine il caso NoVoice ricorda una cosa semplice ma spesso trascurata: lo smartphone non è sicuro solo perché funziona bene. Può essere veloce, ancora usabile e apparentemente in ordine, ma diventare fragile se il software che lo protegge è rimasto fermo troppo a lungo. E quando il malware riesce a sfruttare proprio quel ritardo, rimediare dopo diventa molto più complicato.
