Eine neue Android-Malware namens **NoVoice** wurde auf **Google Play** gefunden und war in mehr als 50 Apps versteckt, die mindestens 2,3 Millionen Mal heruntergeladen wurden. Die Apps, die die bösartige Payload trugen, umfassten Cleaner, Bildgalerien und Spiele. Sie erforderten keine verdächtigen Berechtigungen und boten die versprochene Funktionalität. Nach dem Start einer infizierten App versuchte die Malware, Root-Zugriff auf dem Gerät zu erlangen, indem sie alte Android-Schwachstellen ausnutzte, die zwischen 2016 und 2021 gepatcht wurden. Forscher des Cybersicherheitsunternehmens **McAfee** entdeckten die NoVoice-Operation, konnten sie jedoch keinem spezifischen Bedrohungsakteur zuordnen. Sie hoben jedoch hervor, dass die Malware Ähnlichkeiten mit dem **Triada** Android-Trojaner aufwies.  ### NoVoice-Infektionskette Laut den Forschern von **McAfee** verbarg der Bedrohungsakteur bösartige Komponenten im Paket *com.facebook.utils* und mischte sie mit den legitimen **Facebook** SDK-Klassen. Eine verschlüsselte Payload (enc.apk), die mit Steganografie in einer PNG-Bilddatei versteckt war, wird extrahiert (*h.apk*) und im Systemspeicher geladen, während alle Zwischendateien gelöscht werden, um Spuren zu beseitigen. **McAfee** stellt fest, dass der Bedrohungsakteur die Infektion von Geräten in bestimmten Regionen wie Peking und Shenzhen in China vermeidet und 15 Prüfungen auf Emulatoren, Debugger und VPNs implementiert hat. Wenn Standortberechtigungen nicht verfügbar sind, setzt die Malware die Infektionskette fort.  Die Malware kontaktiert dann den Command-and-Control (C2)-Server und sammelt Geräteinformationen wie Hardware-Details, Kernel-Version, Android-Version (und Patch-Level), installierte Apps und Root-Status, um die Exploit-Strategie zu bestimmen. Als Nächstes fragt die Malware den C2 alle 60 Sekunden ab und lädt verschiedene Komponenten für gerätespezifische Exploits herunter, die darauf ausgelegt sind, das Opfer-System zu rooten. Die Forscher erstellten eine Karte der Infektionskette von der Auslieferungsphase bis zur Injektionsphase.  **McAfee** gibt an, 22 Exploits beobachtet zu haben, darunter Use-After-Free-Kernel-Bugs und Mali-GPU-Treiberfehler. Diese Exploits verschaffen den Betreibern eine Root-Shell und ermöglichen es ihnen, die SELinux-Durchsetzung auf dem Gerät zu deaktivieren, wodurch dessen grundlegende Sicherheitsvorkehrungen effektiv außer Kraft gesetzt werden. Nach dem Rooten des Geräts werden wichtige Systembibliotheken wie *libandroid_runtime.so* und *libmedia_jni.so* durch Hooking-Wrapper ersetzt, die Systemaufrufe abfangen und die Ausführung auf Angriffscode umleiten. Der Rootkit etabliert mehrere Persistenzebenen, darunter die Installation von Recovery-Skripten, den Ersatz des System-Crash-Handlers durch einen Rootkit-Loader und die Speicherung von Fallback-Payloads auf der Systempartition. Da dieser Teil des Gerätespeichers bei einem Werksreset nicht gelöscht wird, bleibt die Malware auch nach einer aggressiven Bereinigung bestehen. Ein Watchdog-Daemon läuft alle 60 Sekunden, um die Integrität des Rootkits zu überprüfen und fehlende Komponenten automatisch neu zu installieren. Wenn die Prüfungen fehlschlagen, wird das Gerät neu gestartet, wodurch das Rootkit neu geladen wird. ### WhatsApp-Datendiebstahl Während der Post-Exploitation-Phase wird Angreifer-kontrollierter Code in jede auf dem Gerät gestartete App injiziert. Zwei Hauptkomponenten werden bereitgestellt: eine, die die stille Installation oder Deinstallation von Apps ermöglicht, und eine andere, die innerhalb jeder App mit Internetzugang operiert. Letztere dient als primärer Mechanismus zum Datendiebstahl, und **McAfee** beobachtete, dass sie hauptsächlich die **WhatsApp**-Messaging-App ins Visier nahm. Wenn **WhatsApp** auf einem infizierten Gerät gestartet wird, extrahiert die Malware sensible Daten, die zur Replikation der Sitzung des Opfers erforderlich sind, einschließlich Verschlüsselungsdatenbanken, der Signal-Protokollschlüssel und Kontoidentifikatoren wie Telefonnummer und **Google Drive**-Backup-Details. Diese Informationen werden dann an den C2 exfiltriert, wodurch die Angreifer die WhatsApp-Sitzung des Opfers auf ihrem eigenen Gerät klonen können.  Die Forscher stellten fest, dass sie zwar nur eine auf **WhatsApp** fokussierte Payload wiederherstellen konnten, das modulare Design von **NoVoice** es jedoch technisch möglich macht, andere Payloads zu verwenden, die auf jede Anwendung auf dem Gerät abzielen. Die bösartigen Android-Anwendungen, die **NoVoice**-Payloads trugen, wurden von **Google Play** entfernt, nachdem **McAfee**, ein Mitglied der App Defense Alliance, sie **Google** gemeldet hatte. Benutzer, die sie jedoch zuvor installiert haben, sollten ihre Geräte und Daten als kompromittiert betrachten. Da **NoVoice** Schwachstellen ausnutzt, die bis Mai 2021 behoben wurden, ist ein Upgrade auf ein Gerät mit einem späteren Sicherheitspatch in seiner aktuellen Form eine wirksame Abhilfe gegen diese Bedrohung. Es wird empfohlen, dass Android-Benutzer auf aktiv unterstützte Modelle aufrüsten und Apps nur von vertrauenswürdigen, bekannten Herausgebern installieren, auch auf **Google Play**.