NoVoice-Malware: Millionen Android-Geräte infiziert

Eine neue Android-Schadsoftware hat die Sicherheitsbarrieren des Google Play Stores durchbrochen und über 50 Apps infiziert. Die als NoVoice bekannte Malware nutzt alte Systemlücken aus, um die totale Kontrolle über Smartphones zu erlangen. Mehr als 2,3 Millionen Downloads wurden bereits gezählt.

Die Entdeckung dieser hochgefährlichen Rootkit-Attacke markiert einen der schwerwiegendsten Angriffe auf das offizielle Android-Ökosystem der letzten Jahre. Getarnt als nützliche Tools oder Spiele, aktiviert sich der Schadcode erst nach der Installation. Google hat die betroffenen Apps inzwischen entfernt.

Banking, WhatsApp und sensible Fotos – auf keinem anderen Gerät speichern wir so viele persönliche Daten wie auf dem Smartphone, was es zum Hauptziel für Hacker macht. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Viren und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So erlangt NoVoice die totale Kontrolle

Die Analyse von McAfee Labs zeigt eine aggressive Strategie: NoVoice versucht, Root-Zugriff auf das Gerät zu erlangen. Dafür nutzt die Malware eine Bibliothek von 22 bekannten Android-Schwachstellen. Diese Sicherheitslücken wurden von Google zwar zwischen 2016 und 2021 geschlossen, wirken aber auf Millionen Geräten, die keine aktuellen Updates erhalten haben.

Hat die Malware erst einmal Administratorrechte, verankert sie sich tief im System. Sie installiert Wiederherstellungsskripte und versteckt Schadkomponenten in der Systempartition. Das Fatale: Eine einfache Werksrückstellung reicht oft nicht aus, um NoVoice zu entfernen. Von dieser privilegierten Position aus können Angreifer dann unbemerkt Software installieren, Apps löschen oder Einstellungen ändern.

Zudem ist NoVoice äußerst trickreich. Sie prüft, ob sie in einer sicheren Testumgebung analysiert wird. Erkennt sie eine solche Sandbox, bleibt sie harmlos und tarnt sich weiter als die ursprünglich heruntergeladene App.

Tarnung und Täuschung: Der Weg in den Play Store

Der Erfolg der Kampagne basiert auf cleverer Täuschung. Die Schadkomponenten waren in Apps versteckt, die tatsächlich funktionierten – etwa als Systemreiniger oder Fotobearbeitungs-Tools. So erhielten sie gute Bewertungen und weckten keinen Verdacht.

Ein Schlüsselelement war die Imitation des Facebook-SDK. Der Code nutzte Paketnamen wie „com.facebook.utils“, um automatische Filter zu umgehen, die nach verdächtigen Strukturen suchen. Diese Methode der „Markenimitation“ ermöglichte es den Apps, wochen- oder monatelang unentdeckt im Play Store zu bleiben.

Die Malware verbreitete sich über verschiedene Kategorien: von System-Tools über Rätselspiele bis zu Hintergrundbildern. Diese breite Streuung sorgte für ein diverses Opferfeld – vom Privatanwender bis zum Mitarbeiter, der sein privates Gerät für die Arbeit nutzt.

Gezielter Datenklau und globale Verbreitung

Das Hauptziel von NoVoice ist der Diebstahl sensibler Kommunikationsdaten. Die Malware zielt speziell auf WhatsApp ab und versucht, Sitzungsdaten zu stehlen. Mit diesen könnten Angreifer Nutzerkonten auf externen Geräten klonen, private Nachrichten lesen und betrügerische Nachrichten an Kontakte senden.

Zudem nutzt NoVoice das SOCKS5-Protokoll, um infizierte Geräte in ein Botnetz zu verwandeln. Über die IP-Adresse des Opfers können Angreifer dann ihre eigene Identität verschleiern. Die Malware kann auch Bildschirme aufzeichnen und SMS abfangen – eine gängige Methode, um die Zwei-Faktor-Authentifizierung bei Bank- oder Social-Media-Konten zu umgehen.

IT-Experten raten dringend dazu, die Sicherheitseinstellungen von Android-Geräten nicht dem Zufall zu überlassen, um WhatsApp und Co. endlich wieder sicher nutzen zu können. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie Ihr Smartphone in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber herunterladen

Die Infektionen konzentrieren sich stark auf Schwellenländer wie Nigeria, Äthiopien, Algerien, Indien und Kenia. Da die Apps aber im globalen Play Store verfügbar waren, sind auch Nutzer in Europa und Nordamerika betroffen, wenn auch in geringerer Zahl. Das FBI hat bereits eine allgemeine Warnung zu den Risiken solcher Apps herausgegeben.

Alte Lücken, neue Gefahr: Die Waffe der Cyberkriminellen

Experten sehen in NoVoice eine Weiterentwicklung der berüchtigten Triada-Malware, die das Android-Ökosystem seit fast einem Jahrzehnt plagt. Wie ihr Vorgänger setzt sie auf die Infiltration der Lieferkette und die Ausnutzung alter Schwachstellen.

Der Vorfall unterstreicht einen wachsenden Trend: die Nutzung sogenannter „N-day“-Lücken. Während „Zero-Day“-Schwachstellen oft Schlagzeilen machen, zeigt NoVoice, dass ältere, ungepatchte Fehler eine wirksame Waffe bleiben. Die Nutzung von 22 Schwachstellen, teilweise aus dem Jahr 2016, deutet darauf hin, dass ein signifikanter Teil der Android-Nutzer veraltete Hardware oder Software verwendet.

Die Reaktionen auf den Vorfall konzentrieren sich auf die Grenzen automatischer App-Store-Prüfungen. Trotz KI-gestützter Bedrohungserkennung und strengerer Entwicklerüberprüfungen finden entschlossene Angreifer weiterhin Lücken. Mit der zunehmenden Verbreitung von Mobilzahlungen steigt der finanzielle Anreiz für solche komplexe Malware zusätzlich.

Was Nutzer jetzt tun können

Google hat bestätigt, alle identifizierten schädlichen Apps entfernt zu haben. Google Play Protect wurde aktualisiert, um NoVoice auf infizierten Geräten automatisch zu erkennen und zu deaktivieren. Da sich die Malware jedoch in der Systempartition einnisten kann, ist die automatische Entfernung nicht in allen Fällen erfolgreich. Manche Nutzer benötigen spezielle technische Hilfe.

Die wirksamste Verteidigung bleibt die konsequente Installation von Sicherheitsupdates. Geräte mit Patches ab Mai 2021 sind gegen die von NoVoice genutzten Exploits geschützt. Experten raten Nutzern zudem, App-Berechtigungen kritisch zu prüfen, unnötige Utility-Software zu meiden und renommierte Sicherheits-Apps mit Echtzeit-Analyse zu nutzen.

Da sich der Wettlauf zwischen App-Store-Betreibern und Malware-Entwicklern verschärft, liegt die Verantwortung für mobile Sicherheit immer mehr beim Endnutzer selbst.

de | boerse | 69082610 |