Android-Malware, NoVoice

Android-Malware NoVoice überlebt Werksreset

05.04.2026 - 18:09:21 | boerse-global.de

Die Android-Schadsoftware NoVoice infizierte Millionen Geräte über den Play Store, überdauert einen Werksreset und zielt gezielt auf WhatsApp-Konten ab. Besonders ältere, ungepatchte Smartphones sind gefährdet.

Android-Malware NoVoice überlebt Werksreset - Foto: über boerse-global.de

Eine neue Android-Malware namens „NoVoice“ hat Millionen Geräte über den Google Play Store infiziert. Ihr gefährlichstes Merkmal: Sie überdauert selbst einen Werksreset. Die Angreifer zielen damit gezielt auf WhatsApp-Konten ab.

Tarnung im Play Store: 2,3 Millionen Downloads

Das Cybersecurity-Unternehmen McAfee entdeckte die Schadsoftware in über 50 Apps. Diese tarnten sich als nützliche System-Cleaner, Bildgalerien oder einfache Spiele und verzeichneten insgesamt 2,3 Millionen Downloads. Google hat die Anwendungen inzwischen entfernt.

Anzeige

Angesichts solch raffinierter Malware-Attacken auf WhatsApp und sensible Daten ist ein proaktiver Schutz für Android-Nutzer unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker und Viren absichern. Jetzt gratis Sicherheits-Paket für Android anfordern

Nach der Installation arbeiten die Apps zunächst wie versprochen. Im Hintergrund startet jedoch eine komplexe Infektionskette. NoVoice versteckt ihren Schadcode in harmlosen PNG-Bilddateien. Dieser wird erst zur Laufzeit geladen und umgeht so herkömmliche Virenscanner.

Sobald die Verbindung zu einem Steuerungsserver steht, übermittelt die Malware Gerädetaten. Der Server liefert daraufhin maßgeschneiderte Exploits, um Administratorrechte auf dem Smartphone zu erlangen.

WhatsApp im Visier: Diebstahl der Sitzung

Mit vollen Systemrechten greift NoVoice sensible Daten aus WhatsApp ab. Die Angreifer stehlen Verschlüsselungsdatenbanken und die Schlüssel des Signal-Protokolls. Damit können sie die WhatsApp-Sitzung des Opfers auf einem eigenen Gerät nachbauen.

Die Täter agieren dann als legitimer Nutzer: Sie senden und empfangen Nachrichten, manipulieren Kontakte oder starten Betrugsversuche in Gruppenchats. Die Ende-zu-Ende-Verschlüsselung bleibt für sie dabei transparent.

Die modulare Architektur von NoVoice ist bedrohlich. Aktuell zielt sie auf WhatsApp, könnte aber problemlos Banking-Apps oder andere soziale Netzwerke angreifen. Die Malware deaktiviert zudem Sicherheitsfunktionen wie SELinux komplett.

Warum ein Werksreset versagt

Normale Malware wird durch einen Werksreset gelöscht. NoVoice hingegen nistet sich als Rootkit in zentrale Systembibliotheken ein. Diese Dateien liegen in einer geschützten Partition, die ein Standard-Reset nicht überschreibt.

Zusätzlich installiert die Malware einen Watchdog-Dienst. Dieser überprüft alle 60 Sekunden, ob ihre Komponenten noch intakt sind. Werden Teile gelöscht, stellt der Dienst sie sofort wieder her. Klappt das nicht, erzwingt NoVoice einen Neustart des Geräts.

Anzeige

Viele Nutzer wiegen sich in falscher Sicherheit, während Kriminelle im Hintergrund unbemerkt Daten ausspähen. Erfahren Sie in diesem kostenlosen Leitfaden, welche Schutzmaßnahmen IT-Experten empfehlen, um WhatsApp, PayPal und Co. endlich sicher zu nutzen. 5 Experten-Tipps für Android-Sicherheit kostenlos herunterladen

Das Ergebnis: Infizierte Smartphones werden zu digitalen „Zombies“. Der Zugriff der Angreifer bleibt auch nach einem vermeintlichen Reset bestehen. Diese Persistenz war bisher meist hochspezialisierter Spionagesoftware vorbehalten.

Wer ist betroffen und was kann man tun?

NoVoice nutzt Sicherheitslücken aus, für die Google bereits zwischen 2016 und 2021 Patches veröffentlicht hat. Besonders gefährdet sind daher ältere Geräte, die keine Updates mehr erhalten. Das betrifft vor allem Smartphones mit Android 7 oder älter, deren letztes Sicherheitsupdate vor Mai 2021 liegt.

Google Play Protect wurde aktualisiert, um bekannte NoVoice-Varianten zu blockieren. Bei tief infizierten Geräten reicht das aber möglicherweise nicht aus. Ein normaler Werksreset hilft hier nicht weiter.

Experten raten betroffenen Nutzern zum „Reflashing“ der Firmware. Dabei wird das gesamte Betriebssystem mit einem offiziellen Image des Herstellers überschrieben. Dieser Vorgang ist technisch anspruchsvoll und löscht alle Daten. Für ältere, nicht mehr unterstützte Geräte kann ein Neukauf die sinnvollere Option sein.

Eine neue Eskalationsstufe für Android

Der Fall NoVoice markiert eine gefährliche Entwicklung. Hochprofessionelle, persistente Schadsoftware ist nun im offiziellen App-Store angekommen. Die Fragmentierung von Android spielt den Angreifern in die Hände: Millionen veralteter Geräte bieten eine dauerhafte Angriffsfläche.

Die gezielte Planung der Hintermänner zeigt sich in Details. So mied die Malware bestimmte Regionen in China und prüfte vor der Aktivierung, ob sie in einem Emulator oder hinter einer VPN läuft.

Was bedeutet das für die Zukunft? Die größte Gefahr geht weiterhin von der „Update-Lücke“ aus. Nutzer sollten die Lebensdauer ihres Smartphones nicht nur nach der Hardware, sondern vor allem nach der Verfügbarkeit von Sicherheitsupdates bewerten. Die Herkunft von Apps bleibt ein kritischer Faktor – selbst im Play Store.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
boerse | 69081247 |