NoVoice-Malware infizierte Millionen Android-Geräte über Google Play

Eine hochgefährliche Schadsoftware namens NoVoice hat über den Google Play Store mehr als 2,3 Millionen Android-Nutzer weltweit kompromittiert. Die als Operation NoVoice bekannte Kampagne nutzte über 50 scheinbar harmlose Apps als Trojaner. Trotz der Löschung der Apps durch Google bleiben die infizierten Geräte eine Gefahr – selbst ein Werksreset hilft oft nicht.

So schlich sich die Schadsoftware in den Store

Die Entdeckung durch McAfee-Forscher zwischen dem 1. und 3. April 2026 zeigt eine alarmierende Entwicklung: Angreifer verstecken ihre Payloads immer raffinierter in funktionierenden Apps. Die betroffenen Programme – darunter Systemreiniger, Bildergalerien und Casual Games – erfüllten ihre eigentliche Aufgabe einwandfrei. Das verschaffte dem Schadcode wertvolle Zeit, im Hintergrund die totale Kontrolle über das Betriebssystem zu übernehmen.

Angesichts immer raffinierterer Trojaner ist ein Basisschutz für das Smartphone heute wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Der Schlüssel zur Unentdecktheit lag in der Steganografie. Die Hacker versteckten den verschlüsselten Schadcode in harmlos wirkenden PNG-Bilddateien, und zwar am Ende der Bilddaten. Standard-Scanner übersahen diese versteckten Komponenten häufig. Beim Start der App wurde die bösartige Nutzlast dann stillschweigend in den Arbeitsspeicher extrahiert, ohne zunächst Spuren auf dem Speicher zu hinterlassen.

„Stille Audio“ trickst Android-System aus

Der Name NoVoice leitet sich von einem kuriosen Fund im Code ab: einer Ressource namens „novioce“, die eine stille Audiospur enthält. Diese wird mit Lautstärke Null abgespielt. Warum dieser Aufwand? Die ständig laufende, unhörbare Wiedergabe erlaubt es der Malware, einen Foreground-Dienst aufrechtzuerhalten. Das Android-Betriebssystem beendet solche Dienste seltener, was der Schadsoftware dauerhafte Aktivität sichert – völlig unbemerkt vom Nutzer.

Bevor NoVoice aktiv wird, führt es über ein Dutzend Umweltchecks durch. Es sucht nach Anzeichen für eine Sandbox, einen Debugger oder einen Emulator. Wird ein Analyse-Umfeld erkannt, stoppt die Malware sofort ihre Aktivität. Erst auf einem echten Nutzergerät entfaltet sie ihr zerstörerisches Potenzial.

Tiefe Verwurzelung macht Entfernung fast unmöglich

Auf einem echten Gerät versucht NoVoice, Root-Rechte zu erlangen. Dazu nutzt es eine Sammlung von 22 bekannten Sicherheitslücken. Diese Schwachstellen wurden von Google zwar zwischen 2016 und 2021 geschlossen, betreffen aber weiterhin ältere oder nicht aktualisierte Android-Versionen. Auf solchen Geräten kann die Malware die SELinux-Sicherheitsmechanismen umgehen und Administratorrechte erlangen.

Mit diesen Rechten ersetzt der Rootkit kritische Systembibliotheken durch bösartige „Wrapper“. Diese fangen Systemaufrufe ab. Der Angreifer kann so Code in jede andere App auf dem Telefon injizieren. Für dauerhafte Präsenz installiert NoVoice einen Watchdog-Daemon, der alle 60 Sekunden das System überwacht. Fehlen Komponenten, werden sie automatisch neu installiert. Klappt das nicht, erzwingt die Malware einen Neustart, um den Infektionszyklus von der Systempartition aus neu zu starten.

Genau hier liegt das größte Problem: Da der Rootkit die Kernsoftware modifiziert, reicht ein standardmäßiger Werksreset nicht aus. Der Schadcode überlebt in Speicherbereichen, die beim Zurücksetzen normalerweise nicht gelöscht werden. Eine sichere Bereinigung erfordert das komplette Neuflashen der originalen Werkssoftware – ein technisch anspruchsvoller Vorgang für den Durchschnittsnutzer.

Datenklau und globale Verbreitung

Das Hauptziel von Operation NoVoice ist der Diebstahl sensibler Daten. Analysen zeigen, dass die Malware gezielt WhatsApp-Datenbanken angreift. So können Angreifer Sitzungsschlüssel stehlen und das Opferkonto auf ein fernes Gerät klonen. Die Hacker können dann private Nachrichten lesen, den Nutzer imitieren und Phishing-Angriffe auf dessen Kontakte starten. Es gibt auch Hinweise auf die Fähigkeit, Banking-Apps und andere hochsichere Software anzugreifen, indem Daten während der Verarbeitung abgefangen werden.

Die Infektion ist global, betrifft aber Regionen mit viel alter Android-Hardware besonders stark. Hohe Infektionsraten wurden in Nigeria, Äthiopien, Algerien, Indien und Kenia dokumentiert. Aber auch in den USA und Europa gab es signifikante Fälle, vor allem bei Nutzern, die ihre Sicherheitsupdates nicht installiert haben. Die Infrastruktur der Malware ist auf globale Reichweite ausgelegt, nutzt aber ein automatisiertes Netzwerk, um Nutzer in bestimmten Regionen (wie einigen chinesischen Städten) gezielt auszusparen.

Da Kriminelle es gezielt auf sensible Anwendungen wie WhatsApp oder Online-Banking abgesehen haben, empfehlen IT-Experten spezifische Sicherheitsvorkehrungen. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie Ihre digitalen Konten und Ihr Android-Smartphone verlässlich schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Googles Reaktion und Schutzmaßnahmen

Google hat auf die Entdeckung reagiert: Alle 50 identifizierten Apps wurden aus dem Play Store entfernt, die zugehörigen Entwicklerkonten gesperrt. Google Play Protect wurde aktualisiert, um die Apps von infizierten Geräten zu entfernen und Neuinstallationen zu blockieren. Das Unternehmen wies jedoch darauf hin, dass die von NoVoice genutzten Sicherheitslücken bereits mit Patches vom 1. Mai 2021 oder später geschlossen wurden. Geräte mit diesem Sicherheitspatch-Level oder neuer sind vor der primären Infektionsmethode geschützt.

Für Besitzer älterer, bereits kompromittierter Geräte ist die Lage schwieriger. Sicherheitsexperten raten betroffenen Nutzern, die offizielle Werkssoftware ihres Herstellers neu aufzuspielen („Reflashen“). Wer sein Gerät nicht auf ein aktuelles Sicherheitsupdate bringen kann, sollte über ein Hardware-Upgrade nachdenken, um sich vor solch tief verwurzelten Bedrohungen zu schützen.

Parallelen zu historischer Malware und Branchenfolgen

Die NoVoice-Kampagne erinnert stark an den berüchtigten Triada-Trojaner, der vor Jahren ähnlich tief in das Android-Ökosystem eindrang. Forscher sehen signifikante Überschneidungen in den Persistenzmechanismen. Dies legt nahe, dass NoVoice eine Weiterentwicklung von Triada sein könnte oder von Bedrohungsakteuren stammt, die das gleiche ausgeklügelte Toolkit nutzen.

Die Tatsache, dass eine so zerstörerische Kampagne über 2 Millionen Downloads im offiziellen Play Store erreichte, unterstreicht die anhaltende Herausforderung durch „Malware-as-a-Service“ und die Schwierigkeit, riesige App-Marktplätze zu überwachen. Marktbeobachter erwarten nun verstärkten regulatorischen Druck auf App-Store-Betreiber, ihre automatischen Scans und manuellen Überprüfungen zu verbessern.

Der Vorfall zeigt deutlich: Selbst die „Haustür“ des Play Stores bleibt ein lohnendes Ziel für hochentwickelte, persistente Bedrohungen. Er ist eine ernüchternde Erinnerung daran, dass die Software-Langlebigkeit im Mobilbereich untrennbar mit Sicherheit verbunden ist. Die „digitale Spaltung“ bei der Update-Verfübarkeit schafft weiterhin große Pools verwundbarer Nutzer, die Cyberkriminelle ausnutzen können.

Ausblick: Angriffe auf veraltete Geräte nehmen zu

Die Cybersicherheits-Community rechnet mit einer weiteren Zunahme mobiler Rootkits, die veraltete Schwachstellen ausnutzen. Da neuere Android-Versionen robusteren, hardwaregestützten Schutz implementieren, konzentrieren sich Angreifer vermehrt auf die Hunderte Millionen Geräte weltweit, die vom Hersteller nicht mehr unterstützt werden.

Die Entdeckung von Operation NoVoice dürfte einen neuen Schub für „Security by Design“ in der Mobilfunkbranche auslösen. Im Fokus stehen längere Support-Lebenszyklen und transparentere Kommunikation über Geräteschwachstellen. In den kommenden Wochen werden Sicherheitsfirmen voraussichtlich detailliertere Listen der betroffenen Apps veröffentlichen, um Nutzern bei der Überprüfung zu helfen.

Der beste Schutz bleibt eine Kombination aus proaktiven Software-Updates und einer vorsichtigen App-Auswahl. Da Mobilgeräte immer sensiblere Finanz- und persönliche Daten speichern, wird der Kampf zwischen der Sicherheit der Marktplätze und hochentwickelten Malware-Autoren wie denen hinter NoVoice sich weiter verschärfen.

boerse | 69077089 |