Android Malware NoVoice überlebt Werkseinstellungen: 2,3 Millionen Downloads im Google Play Store

VonJörn Schmidt
Android Malware
Verpasse keine News, folge mir auf WhatsApp, Mastodon oder Google News

Google schränkt das Sideloading von Apps aktuell stark ein und verweist stolz auf die eigene Sicherheit. Ein aktueller Bericht von Bleeping Computer kratzt nun gewaltig an diesem Image. Sicherheitsforscher von McAfee fanden die Android Malware NoVoice direkt im Google Play Store. Die Entwickler versteckten den Schadcode in über 50 scheinbar harmlosen Anwendungen. Dazu zählten simple System-Cleaner, Bildergalerien oder kleine Spiele. Gutgläubige Nutzer luden diese verseuchten Programme insgesamt 2,3 Millionen Mal auf ihr Smartphone herunter.

Nach dem Start der App analysiert der Schädling das infizierte System sehr präzise. Die Software sucht gezielt nach bekannten Schwachstellen in älteren Android-Versionen. Findet sie ein Schlupfloch, verschafft sich NoVoice den weitreichenden Root-Zugriff. Ab diesem Moment übernimmt die Malware die völlige Kontrolle. Sie stiehlt unbemerkt private App-Daten und installiert im Hintergrund völlig eigenständig weitere Schadsoftware.

Ein simpler Neustart oder das Löschen der Ursprungs-App stoppt diesen Prozess nicht. Der Schädling verankert sich extrem tief im Betriebssystem. Er legt spezielle Wiederherstellungsskripte direkt auf der versteckten Systempartition ab. Ein gewöhnlicher Nutzer löscht diesen Speicherbereich selbst bei einem kompletten Werksreset niemals vollständig. Die Malware überlebt diesen radikalen Schritt dadurch problemlos und infiziert das Gerät beim nächsten Bootvorgang einfach erneut.

Google reagiert auf diese Bedrohung mit einem Verweis auf bestehende Sicherheitsmechanismen. Das Unternehmen schloss die ausgenutzte Sicherheitslücke bereits mit dem Sicherheitspatch vom Mai 2021. Wer sein Gerät seitdem aktualisiert hat, surft sicher im Netz. Die Schutzfunktion Play Protect blockiert mittlerweile Neuinstallationen der betroffenen Apps und entfernt sie automatisch von infizierten Geräten. Besitzer von sehr alten Smartphones ohne Update-Support müssen ihre Geräte bei einem Befall hingegen als dauerhaft kompromittiert betrachten.

Google bevorzugte Quelle Schmidtis Blog Schmidtis Blog zu Deiner bevorzugten Quelle bei Google hinzufügen

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert