Operation, NoVoice

Operation NoVoice: Millionen Android-GerÀte durch Google-Play-Apps infiziert

02.04.2026 - 00:30:41 | boerse-global.de

Eine neue Schadsoftware-Kampagne nutzte getarnte Apps, um tiefen Systemzugriff zu erlangen. Google entfernte die Apps, doch Nutzer Àlterer Android-GerÀte sind besonders gefÀhrdet.

Operation NoVoice: Millionen Android-GerĂ€te durch Google-Play-Apps infiziert - Foto: ĂŒber boerse-global.de

Eine neue, hochgefĂ€hrliche Malware-Kampagne hat die Sicherheitsbarrieren des Google Play Stores durchbrochen. Die als Operation NoVoice bekannte Schadsoftware versteckte sich in ĂŒber 50 scheinbar harmlosen Apps und wurde millionenfach heruntergeladen.

Die Bedrohung unterstreicht eine gefĂ€hrliche Entwicklung: Angreifer nutzen immer raffiniertere Methoden, um tiefen Systemzugriff zu erlangen. Entdeckt wurde die Kampagne von Forschern des App Defense Alliance-Mitglieds McAfee. Die infizierten Apps – darunter Systemreiniger, Spiele und Bildergalerien – funktionierten fĂŒr den Nutzer normal, fĂŒhrten im Hintergrund aber bösartigen Code aus. Diese Tarnung ermöglichte es der Malware, lange unentdeckt zu bleiben. Google hat die Apps inzwischen entfernt und die Entwicklerkonten gesperrt.

Anzeige

Banking, WhatsApp und Online-Shopping auf dem Smartphone sind bequem, machen Ihr GerĂ€t aber auch zur Zielscheibe fĂŒr gefĂ€hrliche Schadsoftware wie NoVoice. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Viren absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Tarnung als harmlose Alltags-Apps

Der Erfolg der Operation NoVoice basierte auf TĂ€uschung. Die Apps wirkten wie nĂŒtzliche Helfer und forderten bei der Installation keine auffĂ€lligen Berechtigungen – ein klassisches Warnsignal blieb aus. Stattdessen holte sich die Software ihre schĂ€dlichen Komponenten erst nach der Installation in mehreren Stufen von externen Servern.

Technisch ist die Malware modular aufgebaut. Startet ein Nutzer eine infizierte App, kontaktiert diese einen Command-and-Control-Server. Dieser erstellt ein Profil des GerĂ€ts, inklusive Android-Version und Sicherheitspatch-Stand. Basierend darauf liefert er maßgeschneiderte Schadpakete aus. Besonders im Visier: alte Android-Schwachstellen, fĂŒr die zwischen 2016 und 2021 Patches veröffentlicht wurden. Ältere oder nicht aktualisierte GerĂ€te sind daher extrem gefĂ€hrdet.

Stille Audio-Tracks und versteckter Code

Der Name der Kampagne leitet sich von einem ungewöhnlichen Trick ab: Eine Komponente namens „novioce“ spielt im Hintergrund einen völlig lautlosen Audio-Track ab. Diese Technik hĂ€lt einen Foreground-Service aktiv, ohne dass der Nutzer es merkt. Das Android-System kann die schĂ€dlichen Prozesse so nicht in den Schlaf versetzen – die Infektion bleibt auch dann aktiv, wenn die App nicht genutzt wird.

Um die Entdeckung zu erschweren, setzen die Angreifer auf Steganographie. Der eigentliche Schadcode ist in Polyglot-Bilddateien versteckt, die wie normale PNG-Grafiken aussehen. Erst im Speicher der laufenden App wird der verschlĂŒsselte Code extrahiert und ausgefĂŒhrt. Zudem wurde die bösartige Logik in modifizierte Versionen legitimer Software-Development-Kits integriert, wie etwa das Facebook SDK. Diese Vermischung macht die Analyse fĂŒr Sicherheitsforscher deutlich schwieriger.

Vollkontrolle ĂŒber das GerĂ€t und hartnĂ€ckige Infektion

Das Hauptziel von Operation NoVoice ist Root-Zugriff, die höchste Privilegienstufe auf einem Android-GerĂ€t. Gelingt dies, kann die Malware Systembibliotheken ersetzen und die vollstĂ€ndige Kontrolle ĂŒber das Betriebssystem ĂŒbernehmen. Laut Berichten kann sie dann Code in jede geöffnete App injizieren. So lassen sich sensible Daten abgreifen: Login-Daten, Finanzinformationen und private Nachrichten.

Besonders brisant ist eine Komponente, die aktive Sitzungen in WhatsApp kapert. Angreifer können so die Session klonen und Daten auf ihre Server umleiten. Auf Àlteren GerÀten mit Android 7 oder niedriger ist die Infektion extrem hartnÀckig. Da die Malware die System-Partition verÀndert, reicht ein Werksreset oft nicht aus. Experten raten in solchen FÀllen nur zu einem kompletten Firmware-Reflash, um das GerÀt zu sÀubern.

Anzeige

Da herkömmliche Updates allein oft nicht ausreichen, empfehlen IT-Experten zusĂ€tzliche Sicherheitsvorkehrungen, um WhatsApp, PayPal und Co. endlich sicher zu nutzen. Erfahren Sie in diesem gratis PDF-Ratgeber, welche Maßnahmen Sie sofort umsetzen können, um Ihr Smartphone vor Datendiebstahl zu schĂŒtzen. Hier die 5 Schutzmaßnahmen fĂŒr Android gratis sichern

Abwehr und die Rolle der App Defense Alliance

Die schnelle Neutralisierung der Bedrohung gelang durch die Zusammenarbeit in der App Defense Alliance. Der Austausch von Informationen zwischen Sicherheitsfirmen und Plattformbetreibern wie Google war entscheidend. Die Entfernung der Apps ist der erste Schritt, doch Nutzer, die sie bereits installiert haben, bleiben gefĂ€hrdet. Sie sollten ihre GerĂ€te auf verdĂ€chtige AktivitĂ€ten prĂŒfen und davon ausgehen, dass ihre Daten kompromittiert sein könnten.

Moderne GerĂ€te mit aktuellen Sicherheitsupdates sind weitgehend geschĂŒtzt. Die genutzten Exploits zielen auf Schwachstellen ab, die mit Patches vor Mai 2021 behoben wurden. GerĂ€te mit einem Sicherheitspatch-Level von 2021-05-01 oder neuer sind gegen die Hauptangriffstechniken immun. Dennoch warnen Analysten, dass auch gepatchte GerĂ€te sekundĂ€ren Schadcode erhalten haben könnten. Die wichtigste Regel lautet daher: Apps nur von vertrauenswĂŒrdigen Entwicklern installieren.

Hintergrund: Die Gefahr der „Schlafmalware“ und des Patch-Gaps

Operation NoVoice folgt einem trend zu „Sleeper“-Malware, die auf langfristige Persistenz statt auf schnellen finanziellen Gewinn setzt. Durch die Imitation legitimer Apps und das Vermeiden auffĂ€lliger Berechtigungen umgeht sie die erste PrĂŒfung im Play Store. Technisch Ă€hnelt die Kampagne dem bekannten Triada-Trojaner, der ebenfalls Systembibliotheken ersetzt.

Der Vorfall beleuchtet erneut das gefĂ€hrliche „Patch-Gap“ im Android-Ökosystem. Zwar veröffentlicht Google monatliche Sicherheitsupdates, doch deren Auslieferung hĂ€ngt von GerĂ€teherstellern und Mobilfunkanbietern ab. Diese Verzögerung schafft ein Zeitfenster, in dem Malware wie NoVoice bekannte Schwachstellen auf Millionen GerĂ€ten ausnutzen kann. FĂŒr Sicherheitsexperten ist dies eine deutliche Erinnerung: Aktuelle Software ist die wirksamste Verteidigung.

Ausblick: Strengere PrĂŒfungen und anhaltende Wachsamkeit

Die Entdeckung von Operation NoVoice wird voraussichtlich zu strengeren PrĂŒfverfahren im Google Play Store fĂŒhren. VerstĂ€rkte Verhaltensanalysen und Checks auf Steganographie in App-Dateien dĂŒrften Standard werden. Gleichzeitig wĂ€chst der Ruf nach mehr Transparenz beim Sicherheits-Lebenszyklus Ă€lterer MobilgerĂ€te, da diese primĂ€re Ziele fĂŒr solche Rootkit-Kampagnen bleiben.

Sicherheitsforscher beobachten die Command-and-Control-Server weiter, um neue Varianten zu entdecken. Die modulare Natur von NoVoice bedeutet, dass die Angreifer das WhatsApp-Payload leicht gegen Module fĂŒr Banking-Apps oder UnternehmenszugĂ€nge austauschen könnten. Die Empfehlung fĂŒr Nutzer bleibt klar: Wachsam sein, GerĂ€te stets auf dem neuesten Sicherheitspatch-Level halten und renommierte Sicherheitssoftware als zusĂ€tzliche Schutzschicht nutzen.

So schÀtzen die Börsenprofis Aktien ein!

<b>So schÀtzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlĂ€ssliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂŒr. Immer. Kostenlos.
boerse | 69051398 |