In „Play Market“ wurden Dutzende von Apps mit dem schädlichen NoVoice gefunden, die 2,3 Millionen Nutzer heruntergeladen haben

Kurzfassung

Im Google Play Market wurden mehr als 50 Apps gefunden, die den schädlichen Code *NoVoice* enthalten.

- Der Virus nutzt bekannte Android-Schwachstellen (2016‑2021), um Root-Rechte zu erlangen.
- Mehr als 2,3 Millionen Downloads.
- Die Apps wirken wie Fotogalerien, Spiele und „Reinigungs“-Utilities – sie fordern keine verdächtigen Berechtigungen.

McAfee-Experten bestätigten die Bedrohung, konnten jedoch keinen konkreten Angreifer identifizieren; der Virus ähnelt dem Trojaner *Triada*.

Wie NoVoice funktioniert
Schritt Was passiert Infektion Der schädliche Code wird in das Paket `com.facebook✴.utils` gelegt und tarnt sich als Facebook‑SDK. Die verschlüsselte Payload (`enc.apk`) ist in ein PNG-Bild eingebettet, aus dem die Datei `h.apk` extrahiert und im Speicher geladen wird. Danach werden alle temporären Dateien gelöscht.
Infektionsbedingung Das Gerät muss nicht als in Peking oder Shenzhen (China) erkannt sein und es müssen 15 Prüfungen gegen Emulatoren, Debugger und VPN bestehen; andernfalls wird der Prozess fortgesetzt.
Datenerfassung Der Malware verbindet sich mit einem Remote‑Server und sendet: Kernelversion, Android-Version, Liste installierter Apps, Root-Status. Die Anfragen wiederholen sich alle 60 Sekunden.
Exploits McAfee entdeckte 22 Exploits (Kernelfehler, Speicherlecks, Mali‑Treiber-Schwachstellen). Sie öffnen eine Root‑Shell und deaktivieren SELinux.
Persistenz Nach Erlangung von Root ersetzt die Malware Systembibliotheken `libandroid_runtime.so` und `libmedia_jni.so`, erstellt Wiederherstellungsskripte, tauscht den Crash‑Handler aus und speichert die Reserve‑Payload im Systempartition (wird bei einem Reset nicht gelöscht). Alle 60 Sekunden startet ein Wächterdaemon, der die Integrität des Rootkits prüft.
Funktionsmodule
1) Versteckte Installation/Deinstallation von Apps.
2) Verbindung zu jeder Internetanwendung und Datendiebstahl (häufig aus WhatsApp). Beim Öffnen des Messengers erhält die Malware Datenbanken, Verschlüsselungsschlüssel, Telefonnummer und Backups in Google Drive und sendet sie an den Kontrollserver. Dadurch können Angreifer WhatsApp‑Sitzungen klonen.
Modularität Der Virus kann andere Payloads für beliebige Apps auf dem Gerät nutzen.

Schutz
- Geräte, die nach Mai 2021 aktualisiert wurden, sind nicht mehr anfällig, da die Exploits geschlossen wurden.
- Google Play Protect entfernt automatisch gefundene Apps und blockiert neue Installationen.
- Benutzern wird empfohlen, regelmäßig alle verfügbaren Sicherheitsupdates zu installieren.

Fazit: *NoVoice* ist ein komplexer Rootkit, der veraltete Android‑Schwachstellen nutzt, um Root-Rechte zu erlangen, sich versteckt einzunisten und Daten aus beliebten Apps zu stehlen. Schutz ist nur durch rechtzeitige Patches und die Nutzung von Play Protect möglich.