Operation NoVoice: Millionen Android-Geräte mit tückischem Rootkit infiziert

Eine neue, hochgefährliche Malware-Kampagne hat über den Google Play Store mindestens 2,3 Millionen Android-Geräte kompromittiert. Die als Operation NoVoice bekannte Attacke nutzte über 50 scheinbar harmlose Apps als Trojaner und setzt neue Maßstäbe in Tarnung und Widerstandsfähigkeit.

Die Entdeckung, die Sicherheitsforscher von McAfee diese Woche öffentlich machten, unterstreicht eine anhaltende Bedrohung: Kriminelle schleusen über täuschend echte Anwendungen wie Systemcleaner, Bildergalerien oder einfache Spiele hochgefährliche Rootkits ein. Obwohl Google die betroffenen Apps bereits aus seinem Store entfernt hat, warnen Experten vor den ausgeklügelten Persistenz-Mechanismen der Schadsoftware. Sie zielt gezielt auf ältere Android-Versionen ab und nutzt Sicherheitslücken aus, die zwar in aktuellen System-Updates längst geschlossen sind, aber auf Millionen noch genutzter Altgeräte bestehen.

Millionen Deutsche nutzen täglich Online-Banking oder WhatsApp per Smartphone – doch ohne die richtigen Sicherheitsvorkehrungen riskieren Sie Datenverlust und finanzielle Schäden. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schutzmaßnahmen, mit denen Sie Ihr Android-Gerät sofort wirksam absichern. Gratis-PDF: 5 Schutzmaßnahmen für Ihr Android-Smartphone sichern

Tarnkappen-Malware: Versteckt in Bildern, aktiv durch Stille

Die technische Raffinesse von Operation NoVoice ist bemerkenswert. Die Angreifer nutzten Steganographie, um verschlüsselte Schadpayloads in harmlos wirkenden PNG-Bilddateien zu verstecken. Nach der Installation einer infizierten App extrahiert diese eine versteckte APK-Datei und lädt sie direkt in den Systemspeicher. Diese Methode umgeht herkömmliche, dateibasierte Erkennungssysteme, die nach bekannten Malware-Signaturen suchen.

Ein einzigartiges Merkmal ist die Nutzung einer lautlosen Audiodatei mit dem Codenamen "novioce". Diese Datei wird mit Null-Lautstärke im Hintergrund abgespielt – ein Trick, um die Hintergrunddienste der Malware am Leben zu halten. Das Android-Betriebssystem beendet Prozesse normalerweise, um Akku oder Speicher zu schonen. Die „stille“ Persistenz stellt jedoch sicher, dass die Schadsoftware ununterbrochen operieren kann. Sie kommuniziert alle 60 Sekunden mit Command-and-Control-Servern, um neue Anweisungen zu erhalten oder weitere Schadcodes nachzuladen.

Bei der Malware handelt es sich um ein Rootkit, das administrativen Root-Zugriff auf das Gerät erlangen will. Laut McAfee-Angaben versucht die Software, etwa 22 verschiedene bekannte Schwachstellen auszunutzen, darunter Kernel-Bugs und GPU-Treiberfehler. Im Erfolgsfall kann sie Systembibliotheken modifizieren und Recovery-Skripte installieren, was eine Entfernung extrem schwierig macht. In vielen Fällen überlebt die Infektion sogar einen Werksreset – ein Persistenz-Level, das bei gewöhnlicher Consumer-Malware selten ist.

Täuschungsmanöver und globale Verbreitung

Der Erfolg der Kampagne basiert auf der Tarnung. Im Gegensatz zu vielen Schadprogrammen, die sofort übermäßige Berechtigungen anfordern, funktionierten die Apps von Operation NoVoice zunächst genau wie beworben. Nutzer, die einen Cleaner oder ein Spiel herunterluden, erhielten die versprochene Funktion. Diese "Benign-First"-Strategie ermöglichte es den Apps, über 2,3 Millionen Downloads zu sammeln, bevor Sicherheitsforscher sie entdeckten.

Die Infektionen sind global, konzentrieren sich aber auf Regionen mit vielen Altgeräten. Die höchsten Infektionsraten verzeichneten laut Daten Nigeria, Äthiopien, Algerien, Indien und Kenia. Diese regionale Fokussierung liegt nahe, da die Malware auf Schwachstellen angewiesen ist, die zwischen 2016 und 2021 gepatcht wurden. Geräte mit neueren Sicherheits-Updates sind immun, doch die Masse alter Geräte in diesen Märkten bot eine riesige Angriffsfläche.

Das Hauptziel des Rootkits ist Datendiebstahl und Account-Übernahme. Die Software zielt speziell auf Sitzungsdaten von Messengern wie WhatsApp ab. Durch den Diebstahl dieser Informationen können Angreifer Nutzerkonten auf eigenen Geräten klonen. Sie erhalten so Zugriff auf private Chats und können Nachrichten im Namen des Opfers versenden. Zudem enthält die Malware Komponenten für stilles App-Management, das die Installation weiterer Schadsoftware oder betrügerische Werbeaktionen im Hintergrund ermöglicht.

Ein veraltetes Smartphone oder eine unbedachte App-Installation kann zur offenen Haustür für Cyberkriminelle werden, die es auf Ihre privaten Nachrichten und Passwörter abgesehen haben. Erfahren Sie in diesem kostenlosen Report, wie Sie gefährliche Sicherheitslücken schließen und Ihr Gerät mit den richtigen Updates dauerhaft schützen. Kostenlosen Android-Sicherheits-Report jetzt herunterladen

Googles Reaktion und das Problem der Altgeräte

Google bestätigte am 3. April 2026, alle identifizierten bösartigen Apps entfernt zu haben. Ein Unternehmenssprecher betonte, Google Play Protect sei aktualisiert worden, um die Apps auch auf infizierten Geräten zu erkennen und zu löschen. Allerdings wies Google darauf hin, dass die ausgenutzten Schwachstellen bereits in Sicherheitsupdates vor Jahren behoben wurden. Jedes Gerät mit einem Sicherheitspatch-Level von Mai 2021 oder neuer sei gegen die primäre Angriffskette geschützt.

Dennoch stellt die Widerstandsfähigkeit des NoVoice-Rootkits für Nutzer älterer Geräte ein großes Problem dar. Da die Malware Systemdateien ersetzen kann, reichen das Löschen der App oder ein Werksreset oft nicht aus. Experten raten betroffenen Nutzern, die Firmware ihres Geräts komplett neu zu flashen – ein für Durchschnittsanwender oft zu technischer Prozess.

Der Vorfall beleuchtet eine wachsende Sicherheitslücke zwischen modernen Flaggschiff-Geräten und hunderten Millionen noch genutzten Budget- oder Alt-Smartphones. Während Google und Hersteller wie Samsung ihre Update-Zyklen verbessern – Samsung rollt seinen April-2026-Sicherheitspatch diese Woche für die Galaxy S26- und S25-Serie aus – erreichen ältere Modelle oft ihr End-of-Life für Software-Support, während sie physisch noch funktionieren. Sie bleiben damit anfällig für recycelte Exploits.

Im Fokus: Immer tiefere Angriffe auf Mobilgeräte

Operation NoVoice ist nicht die einzige große Sicherheitsbedrohung für Android-Nutzer in diesem Frühjahr. Bereits im März und in der ersten Aprilwoche 2026 tauchten Berichte über eine kritische Zero-Day-Schwachstelle in Qualcomm-Chipsets auf, registriert als CVE-2026-21385. Dieser Fehler, der Speicherbeschädigungen in Grafikkomponenten betrifft, wird laut Berichten in begrenzten, gezielten Angriffen genutzt. Während der Qualcomm-Bug von der NoVoice-Kampagne unabhängig ist, unterstreichen beide Entwicklungen einen Trend: Angreifer dringen immer tiefer in die Hardware- und Kernel-Ebene von Mobilgeräten vor.

Die Reaktionen des Markts waren schnell. Cybersicherheitsfirmen drängen Organisationen dazu, striktere Mobile Device Management (MDM)-Richtlinien durchzusetzen. Analysten weisen darauf hin, dass mit dem Smartphone als primärem Zugang zu persönlichem Banking und Unternehmensnetzwerken der Wert eines persistenten Rootkits wie NoVoice im Darknet erheblich gestiegen ist. Es gibt auch Hinweise, dass ähnliche Malware-as-a-Service (MaaS)-Toolkits – wie der kürzlich entdeckte Banking-Trojaner "Mirax" – an Cyberkriminelle für Tausende Dollar pro Monat vermietet werden. Das professionalisiert die mobile Bedrohungslandschaft weiter.

Die Zukunft: Verhaltensanalyse statt Eingangskontrolle

Die Cybersicherheits-Community erwartet eine weitere Evolution der Methoden, mit denen Malware App-Store-Schutzmaßnahmen umgeht. Die Nutzung von "Dropper"-Apps, die wochenlang harmlos bleiben, bevor sie ein bösartiges Update erhalten, wird zum Standardtaktik. Forscher schlagen vor, dass künftige Sicherheitsmodelle auf kontinuierliche Verhaltensüberwachung setzen müssen, anstatt sich nur auf Inspektionen zum Installationszeitpunkt zu verlassen.

Für Verbraucher bleibt der Rat konsistent, doch dringlicher: Aktuelle Software ist die wirksamste Verteidigung. Da Angreifer weiterhin alte Schwachstellen ausbeuten, um die riesige Installationsbasis alter Android-Geräte zu targeten, wird die Forderung nach längerem Software-Support von Herstellern zu einem zentralen Thema des Verbraucherschutzes werden. Nutzer sollten jetzt ihr Sicherheitspatch-Level in den Geräteeinstellungen prüfen und selbst bei hoch bewerteten Utility-Apps von unbekannten Entwicklern vorsichtig sein.

boerse | 69067865 |