Security-Forscher haben eine anspruchsvolle Kampagne auf Android-Geräte, die kam, um getarnt innerhalb des offiziellen Application Store. Laut der von McAfee Labs veröffentlichten Analyse versteckten mehr als fünfzig legitime Anwendungen - von Reinigern und Fotogalerien bis zu Spielen - eine Reihe von schädlichen Komponenten, die das Team als NoVoice benannte und dass zusammen mindestens 2,3 Millionen Mal von Google Play heruntergeladen wurden. Das beunruhigendste war nicht das Aussehen der Apps, sondern die Aggressivität und technische Ebene der Malware, die einmal installiert aktiviert wurde.( Bericht McAfee)
Die infizierten Anwendungen erforderten normale Berechtigungen und führten die versprochene On-Screen-Funktion durch, die ihre Verteilung erleichterte. Nach dem Öffnen einer dieser Apps startete der schädliche Code eine Reihe von Kontrollen, um festzustellen, ob das Gerät ein gültiges Ziel war: es ausgeschlossen bestimmte geographische Regionen - zum Beispiel bestimmte Gebiete in China - und führte mehr als ein Dutzend Kontrollen, um Emulatoren, Debugging und VPN-Verbindungen zu erkennen. Als die Bedingungen günstig schienen, startete die Malware regelmäßig zusätzliche Komponenten von einem Kontrollserver herunterladen und eine Batterie von bestimmten Kernel und Treiber nutzt, um Root-Privilegien zu erhalten; McAfee dokumentierte bis zu 22 verschiedene Exploits, einige von ihnen basierend auf gebrauchs-nach-freie Sicherheitslücken und GPU Mali Treiber-Fehler, die bereits Patches zwischen 2016 und 2021 veröffentlicht ( Android Security Newsletter, Mai 2021)
Sobald die Wurzel erreicht wurde, hat NoVoice aufgehört, einfach eine böswillige App zu sein: es ersetzte kritische System-Buchhandlungen mit "Wrappers", die Anrufe abgefangen und die Ausführung umgeleitet, um Code anzugreifen. Es installierte auch mehrere Persistenzmechanismen, wie Recovery-Skripte, ein Systemausfall-Handler-Ersatz, der als Rootkit-Ladegerät und Backup-kopien in der Systempartition fungiert. Das bedeutet, dass schädliche Software auch eine Fabrik Restaurierung überleben kann, weil die Partitionen, die Host es nicht mit dieser Operation gelöscht werden. Darüber hinaus überprüft ein jeder Minute ausgeführter Überwachungsdemon die Integrität des Rootkits und, wenn es Änderungen erkennt, Kräfte Wiederanfänge zur Reaktivierung der Infektion ( SELinux Dokumentation auf Android)
Der Liefervektor der zusätzlichen Komponenten war ebenso genial: Die Angreifer versteckten eine verschlüsselte Nutzlast innerhalb eines PNG-Bildes unter Verwendung von Steganographietechniken; diese verdeckte Datei wurde als APK im Speicher extrahiert und alle Zwischendateien entfernt, um es für die forensische Rekonstruktion schwierig zu machen. Das schädliche Paket wurde in den App-Namensraum in Klassen mit Namen wie Facebooks SDK versteckt, die dazu beigetragen, schädliche Artefakte zwischen legitimen Code zu tarnen ( siehe technische Details in McAfee)
Mit dem Gerät bereits in den Händen der Angreifer, NoVoice implementierte Module, die in jede Anwendung injiziert wurden, die der Benutzer geöffnet. Unter den beobachteten Fähigkeiten waren die leise Installation und Entfernung von Apps ohne Interaktion vom Eigentümer, und eine Komponente, die innerhalb einer beliebigen App mit Internet-Zugang zu extrahieren sensible Daten. McAfee dokumentierte einen klaren Fokus auf die Messaging: Als er die Einführung von WhatsApp, das Rootkit exfiltrierte Anwendungsdatenbanken, die Signalprotokoll-Schlüssel von WhatsApp und andere Identifier erkannte, die eine Sitzung ermöglichen. Mit diesen Artefakten können Angreifer das Opferkonto auf einem anderen Gerät replizieren und so Nachrichten und Kontakte abfangen ( Sicherheitsinformationen von WhatsApp)
Die Forscher versäumten die Operation einer bestimmten Gruppe zuzuordnen, obwohl sie auf technische Ähnlichkeiten mit früheren Malware-Familien wie Triada, bekannt für seine Fähigkeit, auf einer systemischen Ebene auf Android-Geräten implementieren. Die modulare Architektur von NoVoice ermöglicht theoretisch den Austausch des WhatsApp-Moduls durch andere für unterschiedliche Anwendungen oder Dienstleistungen. Weitere Zusammenhänge zu ähnlichen Bedrohungen finden Sie unter Kasperskys Eintrag auf Triada ( Triade in Kaspersky)
Google entfernte die identifizierten Google Play-Anwendungen nach der McAfee-Benachrichtigung, die Teil der App Defense Alliance ist, eine Initiative, um die Überprüfung von Apps im Laden zu stärken. Die einfache Tatsache, dass diese Apps Millionen von Downloads erreicht haben, unterstreicht jedoch ein echtes Risiko: diejenigen, die eine der betroffenen Anwendungen installiert haben, sollten davon ausgehen, dass ihr Gerät beeinträchtigt wird. Eine Standard-Restaurierung kann nicht genug sein; in vielen Fällen wird es notwendig sein, zum Hersteller zu gehen, um die Firmware neu zu proben oder spezialisierte Unterstützung zu erhalten. Für Benutzer, die das unmittelbare Risiko minimieren möchten, gehen die Maßnahmen durch Aktualisierung des Systems auf die neueste verfügbare Sicherheitsversion und Vermeidung der Installation von Anwendungen aus Vertrauensquellen. Google und andere Anbieter empfehlen, in Modellen mit aktiver Unterstützung zu bleiben und monatliche Sicherheits-Patches anzuwenden, die die Sicherheitslücken schließen, die von NoVoice ausgenutzt werden ( Schutztipps für Android und über die App Defense Alliance)
Wenn Sie denken, dass Ihr Telefon von NoVoice betroffen sein könnte, ist es angebracht, nicht komplexe Operationen ohne Beratung zu versuchen: ändern kritische Passwörter von einem sauberen Gerät und überprüfen zusätzliche Maßnahmen wie zweistufige Überprüfung für Dienste wie WhatsApp, und kontaktieren Sie den Hersteller oder einen zuverlässigen technischen Service, um die forensische Neuinstallation des Systems zu bewerten. Wenn die Bedrohung die System-Level-Beharrlichkeit beinhaltet, ist die einzige vollständige Reinigungsgarantie in der Regel, um Firmware durch offizielle Bilder zu ersetzen oder zu entzünden. Dieser Fall ist auch eine Erinnerung, dass kein offizieller Speicher unfehlbar ist: Vorsicht bei der Installation von Anwendungen, auch auf Google Play, und Aufmerksamkeit auf Sicherheits-Updates bleiben die besten Verteidigung gegen immer qualifiziertere Bedrohungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...