Operation NoVoice: Millionen Android-Geräte durch Google-Play-Apps infiziert

Eine neue, hochgefährliche Malware-Kampagne hat die Sicherheitsbarrieren des Google Play Stores durchbrochen. Die als Operation NoVoice bekannte Schadsoftware versteckte sich in über 50 scheinbar harmlosen Apps und wurde millionenfach heruntergeladen.

Die Bedrohung unterstreicht eine gefährliche Entwicklung: Angreifer nutzen immer raffiniertere Methoden, um tiefen Systemzugriff zu erlangen. Entdeckt wurde die Kampagne von Forschern des App Defense Alliance-Mitglieds McAfee. Die infizierten Apps – darunter Systemreiniger, Spiele und Bildergalerien – funktionierten für den Nutzer normal, führten im Hintergrund aber bösartigen Code aus. Diese Tarnung ermöglichte es der Malware, lange unentdeckt zu bleiben. Google hat die Apps inzwischen entfernt und die Entwicklerkonten gesperrt.

Banking, WhatsApp und Online-Shopping auf dem Smartphone sind bequem, machen Ihr Gerät aber auch zur Zielscheibe für gefährliche Schadsoftware wie NoVoice. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Viren absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Tarnung als harmlose Alltags-Apps

Der Erfolg der Operation NoVoice basierte auf Täuschung. Die Apps wirkten wie nützliche Helfer und forderten bei der Installation keine auffälligen Berechtigungen – ein klassisches Warnsignal blieb aus. Stattdessen holte sich die Software ihre schädlichen Komponenten erst nach der Installation in mehreren Stufen von externen Servern.

Technisch ist die Malware modular aufgebaut. Startet ein Nutzer eine infizierte App, kontaktiert diese einen Command-and-Control-Server. Dieser erstellt ein Profil des Geräts, inklusive Android-Version und Sicherheitspatch-Stand. Basierend darauf liefert er maßgeschneiderte Schadpakete aus. Besonders im Visier: alte Android-Schwachstellen, für die zwischen 2016 und 2021 Patches veröffentlicht wurden. Ältere oder nicht aktualisierte Geräte sind daher extrem gefährdet.

Stille Audio-Tracks und versteckter Code

Der Name der Kampagne leitet sich von einem ungewöhnlichen Trick ab: Eine Komponente namens „novioce“ spielt im Hintergrund einen völlig lautlosen Audio-Track ab. Diese Technik hält einen Foreground-Service aktiv, ohne dass der Nutzer es merkt. Das Android-System kann die schädlichen Prozesse so nicht in den Schlaf versetzen – die Infektion bleibt auch dann aktiv, wenn die App nicht genutzt wird.

Um die Entdeckung zu erschweren, setzen die Angreifer auf Steganographie. Der eigentliche Schadcode ist in Polyglot-Bilddateien versteckt, die wie normale PNG-Grafiken aussehen. Erst im Speicher der laufenden App wird der verschlüsselte Code extrahiert und ausgeführt. Zudem wurde die bösartige Logik in modifizierte Versionen legitimer Software-Development-Kits integriert, wie etwa das Facebook SDK. Diese Vermischung macht die Analyse für Sicherheitsforscher deutlich schwieriger.

Vollkontrolle über das Gerät und hartnäckige Infektion

Das Hauptziel von Operation NoVoice ist Root-Zugriff, die höchste Privilegienstufe auf einem Android-Gerät. Gelingt dies, kann die Malware Systembibliotheken ersetzen und die vollständige Kontrolle über das Betriebssystem übernehmen. Laut Berichten kann sie dann Code in jede geöffnete App injizieren. So lassen sich sensible Daten abgreifen: Login-Daten, Finanzinformationen und private Nachrichten.

Besonders brisant ist eine Komponente, die aktive Sitzungen in WhatsApp kapert. Angreifer können so die Session klonen und Daten auf ihre Server umleiten. Auf älteren Geräten mit Android 7 oder niedriger ist die Infektion extrem hartnäckig. Da die Malware die System-Partition verändert, reicht ein Werksreset oft nicht aus. Experten raten in solchen Fällen nur zu einem kompletten Firmware-Reflash, um das Gerät zu säubern.

Da herkömmliche Updates allein oft nicht ausreichen, empfehlen IT-Experten zusätzliche Sicherheitsvorkehrungen, um WhatsApp, PayPal und Co. endlich sicher zu nutzen. Erfahren Sie in diesem gratis PDF-Ratgeber, welche Maßnahmen Sie sofort umsetzen können, um Ihr Smartphone vor Datendiebstahl zu schützen. Hier die 5 Schutzmaßnahmen für Android gratis sichern

Abwehr und die Rolle der App Defense Alliance

Die schnelle Neutralisierung der Bedrohung gelang durch die Zusammenarbeit in der App Defense Alliance. Der Austausch von Informationen zwischen Sicherheitsfirmen und Plattformbetreibern wie Google war entscheidend. Die Entfernung der Apps ist der erste Schritt, doch Nutzer, die sie bereits installiert haben, bleiben gefährdet. Sie sollten ihre Geräte auf verdächtige Aktivitäten prüfen und davon ausgehen, dass ihre Daten kompromittiert sein könnten.

Moderne Geräte mit aktuellen Sicherheitsupdates sind weitgehend geschützt. Die genutzten Exploits zielen auf Schwachstellen ab, die mit Patches vor Mai 2021 behoben wurden. Geräte mit einem Sicherheitspatch-Level von 2021-05-01 oder neuer sind gegen die Hauptangriffstechniken immun. Dennoch warnen Analysten, dass auch gepatchte Geräte sekundären Schadcode erhalten haben könnten. Die wichtigste Regel lautet daher: Apps nur von vertrauenswürdigen Entwicklern installieren.

Hintergrund: Die Gefahr der „Schlafmalware“ und des Patch-Gaps

Operation NoVoice folgt einem trend zu „Sleeper“-Malware, die auf langfristige Persistenz statt auf schnellen finanziellen Gewinn setzt. Durch die Imitation legitimer Apps und das Vermeiden auffälliger Berechtigungen umgeht sie die erste Prüfung im Play Store. Technisch ähnelt die Kampagne dem bekannten Triada-Trojaner, der ebenfalls Systembibliotheken ersetzt.

Der Vorfall beleuchtet erneut das gefährliche „Patch-Gap“ im Android-Ökosystem. Zwar veröffentlicht Google monatliche Sicherheitsupdates, doch deren Auslieferung hängt von Geräteherstellern und Mobilfunkanbietern ab. Diese Verzögerung schafft ein Zeitfenster, in dem Malware wie NoVoice bekannte Schwachstellen auf Millionen Geräten ausnutzen kann. Für Sicherheitsexperten ist dies eine deutliche Erinnerung: Aktuelle Software ist die wirksamste Verteidigung.

Ausblick: Strengere Prüfungen und anhaltende Wachsamkeit

Die Entdeckung von Operation NoVoice wird voraussichtlich zu strengeren Prüfverfahren im Google Play Store führen. Verstärkte Verhaltensanalysen und Checks auf Steganographie in App-Dateien dürften Standard werden. Gleichzeitig wächst der Ruf nach mehr Transparenz beim Sicherheits-Lebenszyklus älterer Mobilgeräte, da diese primäre Ziele für solche Rootkit-Kampagnen bleiben.

Sicherheitsforscher beobachten die Command-and-Control-Server weiter, um neue Varianten zu entdecken. Die modulare Natur von NoVoice bedeutet, dass die Angreifer das WhatsApp-Payload leicht gegen Module für Banking-Apps oder Unternehmenszugänge austauschen könnten. Die Empfehlung für Nutzer bleibt klar: Wachsam sein, Geräte stets auf dem neuesten Sicherheitspatch-Level halten und renommierte Sicherheitssoftware als zusätzliche Schutzschicht nutzen.

boerse | 69051398 |