NoVoice-Rootkit entdeckt: Malware-Gefahr für Millionen Android-Handys
Eine neue Malware-Kampagne namens NoVoice bedroht zahlreiche Android-Geräte. Die Schadsoftware wurde als versteckte Nutzlast in mehr als 50 Apps entdeckt, die regulär im Google Play Store angeboten wurden.
Die Angreifer nutzen bei der Infektion gezielt ältere Sicherheitslücken im Android-System aus. So verschaffen sie sich weitreichende Rechte und können das Smartphone vollständig kontrollieren. Teile des Schadcodes sind in Bilddateien versteckt, ein Verfahren, das als Steganografie bekannt ist. Dadurch wirken die Daten wie normale Grafiken und können automatischen Prüfmechanismen in App-Stores entgehen.
Auf älteren, nicht mehr unterstützten Geräten kann sich der Code so tief im System verankern, dass ein Zurücksetzen auf Werkseinstellungen nicht ausreicht. In solchen Fällen hilft nur ein komplettes Neuaufspielen der Firmware.
Der Name NoVoice geht auf eine stumm abgespielte Audiodatei zurück, mit der die Malware das Betriebssystem beschäftigt hält. So wird verhindert, dass der schädliche Prozess als inaktiv eingestuft und beendet wird.
Besonders hart trifft der Angriff ältere Android-Smartphones, die seit Jahren keine Sicherheitsupdates mehr erhalten. Auf solchen Geräten kann NoVoice dauerhaft aktiv bleiben. Google hat die bekannten schadhaften Apps nach Angaben der Forscher aus dem Play Store entfernt. Geräte mit einem Android-Sicherheitsstand vom 1. Mai 2021 oder neuer sind gegen die bislang bekannten Exploits der Kampagne geschützt. Nutzern wird geraten, verfügbare Updates zeitnah zu installieren und Apps nur aus vertrauenswürdigen Quellen zu laden.
Achtet ihr beim Download von Apps auf Sicherheitsupdates und das Alter eures Smartphones? Teilt eure Erfahrungen und Einschätzungen dazu in den Kommentaren.
Siehe auch:
Gefahr durch infizierte Android-Apps
Nach Angaben von Sicherheitsforschern wurden die kompromittierten Anwendungen insgesamt rund 2,3 Millionen Mal heruntergeladen. Die Programme gaben sich als scheinbar harmlose Alltags-Apps wie Systemreiniger, Spiele oder Bildergalerien aus.Die Angreifer nutzen bei der Infektion gezielt ältere Sicherheitslücken im Android-System aus. So verschaffen sie sich weitreichende Rechte und können das Smartphone vollständig kontrollieren. Teile des Schadcodes sind in Bilddateien versteckt, ein Verfahren, das als Steganografie bekannt ist. Dadurch wirken die Daten wie normale Grafiken und können automatischen Prüfmechanismen in App-Stores entgehen.
Malware erschleicht sich Systemrechte
Wie das Sicherheitsteam von McAfee berichtet, handelt es sich bei NoVoice um ein Rootkit. Die Malware erschleicht sich tiefgreifende Systemrechte und überschreibt zentrale Bibliotheken.Auf älteren, nicht mehr unterstützten Geräten kann sich der Code so tief im System verankern, dass ein Zurücksetzen auf Werkseinstellungen nicht ausreicht. In solchen Fällen hilft nur ein komplettes Neuaufspielen der Firmware.
Datendiebstahl bei WhatsApp
Zentrales Ziel der Angreifer ist der Zugriff auf sensible Daten. Besonders im Fokus steht der Messenger WhatsApp. Laut McAfee wurden Module gefunden, die beim Start der App aktive Sitzungen auslesen und die dafür nötigen Schlüssel und Metadaten kopieren. So lässt sich ein WhatsApp-Konto auf einem anderen Gerät klonen. Angreifer könnten dann im Namen der Opfer Nachrichten verschicken, Kontakte ausspähen oder betrügerische Maschen anstoßen. Auffällige Hinweise für die Betroffenen gibt es oft zunächst nicht.Der Name NoVoice geht auf eine stumm abgespielte Audiodatei zurück, mit der die Malware das Betriebssystem beschäftigt hält. So wird verhindert, dass der schädliche Prozess als inaktiv eingestuft und beendet wird.
Besonders hart trifft der Angriff ältere Android-Smartphones, die seit Jahren keine Sicherheitsupdates mehr erhalten. Auf solchen Geräten kann NoVoice dauerhaft aktiv bleiben. Google hat die bekannten schadhaften Apps nach Angaben der Forscher aus dem Play Store entfernt. Geräte mit einem Android-Sicherheitsstand vom 1. Mai 2021 oder neuer sind gegen die bislang bekannten Exploits der Kampagne geschützt. Nutzern wird geraten, verfügbare Updates zeitnah zu installieren und Apps nur aus vertrauenswürdigen Quellen zu laden.
Achtet ihr beim Download von Apps auf Sicherheitsupdates und das Alter eures Smartphones? Teilt eure Erfahrungen und Einschätzungen dazu in den Kommentaren.
Ist mein Smartphone von NoVoice bedroht?
Grundsätzlich können Sie aufatmen, wenn Ihr Gerät aktuelle Updates erhält. Die Malware nutzt Schwachstellen, die bereits zwischen 2016 und 2021 geschlossen wurden. Smartphones mit einem Sicherheitspatch-Level ab Mai 2021 sind laut Google vor den bekannten Exploits sicher.
Kritisch ist es bei älteren Geräten, etwa mit Android 7 oder niedriger, die keine Updates mehr bekommen. Im IT-Alltag bedeutet das: Prüfen Sie bei ausgemusterten oder älteren Testgeräten zwingend den Patch-Stand in den Systemeinstellungen, bevor diese ins Firmennetzwerk gelassen werden.
Kritisch ist es bei älteren Geräten, etwa mit Android 7 oder niedriger, die keine Updates mehr bekommen. Im IT-Alltag bedeutet das: Prüfen Sie bei ausgemusterten oder älteren Testgeräten zwingend den Patch-Stand in den Systemeinstellungen, bevor diese ins Firmennetzwerk gelassen werden.
Wie erkenne ich infizierte Apps?
Die Schadsoftware versteckt sich in scheinbar harmlosen Alltags-Apps. Dazu zählen System-Cleaner, Bildergalerien oder einfache Spiele. Insgesamt wurden über 50 solcher Apps mit mehr als 2,3 Millionen Downloads im Google Play Store identifiziert, darunter angeblich eine App namens "SwiftClean".
Für Endanwender ist die Infektion kaum spürbar. Die Apps fordern keine ungewöhnlichen Berechtigungen und funktionieren wie beworben. Der bösartige Code versteckt sich geschickt in legitimen Entwickler-Werkzeugen wie dem Facebook-SDK und lädt Schadcode unbemerkt im Hintergrund nach.
Für Endanwender ist die Infektion kaum spürbar. Die Apps fordern keine ungewöhnlichen Berechtigungen und funktionieren wie beworben. Der bösartige Code versteckt sich geschickt in legitimen Entwickler-Werkzeugen wie dem Facebook-SDK und lädt Schadcode unbemerkt im Hintergrund nach.
Was macht der Rootkit auf dem Gerät?
Sobald die Malware aktiv ist, verschafft sie sich weitreichende Root-Rechte. Sie tauscht zentrale Systembibliotheken aus, sodass bei jedem Start einer beliebigen App automatisch auch der Code der Angreifer ausgeführt wird. Das Gerät ist damit vollständig kompromittiert.
Um nicht vom System beendet zu werden, spielt die Malware eine lautlose Audiodatei ab - daher der Name "NoVoice". In der Praxis können die Angreifer so unbemerkt weitere Apps installieren, löschen oder den gesamten Datenverkehr der genutzten Anwendungen abgreifen.
Um nicht vom System beendet zu werden, spielt die Malware eine lautlose Audiodatei ab - daher der Name "NoVoice". In der Praxis können die Angreifer so unbemerkt weitere Apps installieren, löschen oder den gesamten Datenverkehr der genutzten Anwendungen abgreifen.
Warum ist WhatsApp besonders im Fokus?
Die Sicherheitsforscher konnten ein spezifisches Modul isolieren, das gezielt auf WhatsApp zugreift. Startet ein betroffener Nutzer den Messenger, kopiert die Malware Verschlüsselungsdatenbanken, Identitätsschlüssel und Informationen zum Google-Drive-Backup.
Mit diesen sensiblen Daten lässt sich die komplette WhatsApp-Sitzung auf ein anderes Gerät klonen. Für IT-Profis und Unternehmen stellt dies ein massives Risiko dar, da so vertrauliche Chatverläufe oder geschäftliche Absprachen in fremde Hände geraten können.
Mit diesen sensiblen Daten lässt sich die komplette WhatsApp-Sitzung auf ein anderes Gerät klonen. Für IT-Profis und Unternehmen stellt dies ein massives Risiko dar, da so vertrauliche Chatverläufe oder geschäftliche Absprachen in fremde Hände geraten können.
Hilft ein Werksreset gegen die Malware?
Bei dieser speziellen Bedrohung reicht ein einfaches Zurücksetzen auf die Werkseinstellungen leider nicht aus. Da sich der Rootkit tief in der Systempartition einnistet, bleiben die manipulierten Dateien auch nach einem Reset erhalten.
Die Malware nutzt zudem einen sogenannten Watchdog-Dienst, der fehlende Komponenten alle 60 Sekunden automatisch neu installiert. Um ein infiziertes Gerät verlässlich zu bereinigen, muss die originale Firmware komplett neu geflasht werden.
Die Malware nutzt zudem einen sogenannten Watchdog-Dienst, der fehlende Komponenten alle 60 Sekunden automatisch neu installiert. Um ein infiziertes Gerät verlässlich zu bereinigen, muss die originale Firmware komplett neu geflasht werden.
Zusammenfassung
- NoVoice-Rootkit wurde in über 50 Apps im Google Play Store entdeckt
- Rund 2,3 Millionen Downloads der kompromittierten Anwendungen erfolgten
- Schadsoftware tarnt sich als Systemreiniger, Spiele oder Bildergalerien
- Steganografie versteckt Schadcode in Bilddateien vor Prüfmechanismen
- WhatsApp-Konten können durch gestohlene Sitzungsdaten geklont werden
- Ältere Android-Geräte ohne Sicherheitsupdates sind besonders gefährdet
- Sicherheitsstand vom 1. Mai 2021 oder neuer schützt vor den Exploits
Siehe auch:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
Technikdirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen