Neue Android-Malware NoVoice infiziert Millionen Geräte

Sicherheitsexperten von McAfee haben eine neue Android-Schadsoftware namens NoVoice entdeckt, die sich in über 50 verschiedenen Apps auf Google Play versteckt. Diese Malware wurde mindestens 2,3 Millionen Mal heruntergeladen und tarnt sich als Cleaner, Bildergalerien oder Spiele. Die Apps verlangen bei der Installation keine verdächtigen Berechtigungen, was sie unauffällig macht, da sie die versprochene Funktionalität bereitstellen. Nach dem Start einer infizierten App versucht die Malware, Root-Zugriff auf dem Android-Gerät zu erlangen. Hierbei nutzt sie Sicherheitslücken, die zwischen 2016 und 2021 gepatcht wurden.

Einmal aktiviert, nimmt NoVoice Kontakt zu einem Command-and-Control-Server (C2) auf und sendet gesammelte Daten über Hardware, Kernel, Android-Version, installierte Apps und Root-Status, um die Angriffsstrategie zu optimieren. Die Malware verwendet 22 verschiedene Exploits, um die Sicherheitsmechanismen des Android-Geräts zu umgehen und Root-Rechte zu erlangen. Nach erfolgreichem Rooten werden wichtige Systembibliotheken wie libandroid_runtime.so und libmedia_jni.so durch manipulierte Wrapper ersetzt. Diese Wrapper fangen Systemaufrufe ab und leiten sie auf den Angriffscode um, was die Kontrolle über das Gerät weiter verstärkt. Besonders besorgniserregend ist die Fähigkeit von NoVoice, einen Werksreset zu überstehen.

McAfee erklärt, dass die Malware in der Lage ist, Teile der Systemsoftware zu verändern, die bei einem Zurücksetzen normalerweise nicht ersetzt werden. Dies bedeutet, dass betroffene Geräte auch nach einem Reset weiterhin infiziert bleiben können. Die Malware kann in jede auf dem Gerät gestartete App von Angreifern kontrollierten Code einschleusen. Ein Hauptziel dieser Angriffe ist WhatsApp, was die potenziellen Auswirkungen auf die Privatsphäre der Nutzer verstärkt. Die Forscher konnten bisher nicht ermitteln, wer hinter der Malware steckt, stellen jedoch Ähnlichkeiten zu dem Android-Trojaner Triada fest, der bereits in der Vergangenheit für Infektionen verantwortlich war.

Google hat mittlerweile die infizierten Apps von Google Play entfernt. Nutzer, die die Apps jedoch bereits installiert haben, sind weiterhin gefährdet. Die Sicherheitsexperten betonen, dass die Bedrohung durch NoVoice in ihrer derzeitigen Form vor allem auf Sicherheitslücken abzielt, die bis Mai 2021 behoben wurden. Daher wird empfohlen, alle verfügbaren Sicherheits-Updates zu installieren. McAfee rät Nutzern, besonders vorsichtig mit Apps zu sein, die nicht aus offiziellen Quellen stammen, und regelmäßig ihre installierten Anwendungen zu überprüfen.

Die Malware NoVoice stellt eine ernsthafte Bedrohung für die Sicherheit von Android-Geräten dar und könnte weitreichende Folgen für die Privatsphäre der Nutzer haben. Die Entdeckung von NoVoice unterstreicht die anhaltende Herausforderung, die mobile Sicherheit zu gewährleisten. Sicherheitsexperten warnen, dass die Komplexität moderner Malware-Strategien eine ständige Wachsamkeit erfordert. Die genaue Anzahl der betroffenen Geräte könnte noch steigen, da immer mehr Nutzer potenziell gefährdete Apps installieren. McAfee hat die Malware-Analyse am 3. April 2026 veröffentlicht und empfiehlt, die Sicherheitspraktiken zu überdenken, um zukünftige Infektionen zu vermeiden.