NoVoice Android-Rootkit infiziert Millionen via Google Play

NoVoice rootkit Android malware WhatsApp session cloning mobile security Google Play vulnerabilities
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
3. April 2026
3 Minuten Lesezeit
NoVoice Android-Rootkit infiziert Millionen via Google Play

TL;DR

Eine neue Malware-Kampagne namens NoVoice hat über 50 manipulierte Apps im Google Play Store verbreitet. Das Rootkit nutzt 22 verschiedene Sicherheitslücken aus, um vor allem ältere Android-Versionen zu infizieren. Die betroffenen Apps, darunter Spiele und System-Tools, tarnen ihre schädlichen Aktivitäten durch normale Funktionen.

Mehrstufige Infektion und Ausnutzung von 22 Sicherheitslücken

Die NoVoice-Rootkit-Kampagne stellt eine hochentwickelte Bedrohung dar, der es gelang, die Sicherheitsfilter von Google Play zu umgehen, indem sie sich in mehr als 50 scheinbar harmlosen Anwendungen versteckte. Diese Apps – darunter Gelegenheitsspiele, System-Cleaner und Galerie-Tools – funktionierten aus Nutzersicht wie erwartet, um keinen Verdacht zu erregen. Hinter den Kulissen nutzte die Malware jedoch ein gewaltiges Repertoire von 22 verschiedenen Sicherheitslücken, um Millionen von Geräten anzugreifen. Berichten von HotHardware zufolge zielt das Rootkit primär auf ältere Android-Versionen ab, denen die neuesten Sicherheitspatches fehlen.

Um sich vor einer derart breit angelegten Ausnutzung von Schwachstellen zu schützen, sollten Nutzer der Netzwerksicherheit Priorität einräumen und ihre Betriebssysteme stets auf dem neuesten Stand halten. Die technische Ausführung von NoVoice erfolgt über die Nachladung einer sekundären Payload, sobald die ursprüngliche „Utility-App“ installiert wurde. Diese Payload führt die Exploit-Kette aus, um Root-Rechte zu erlangen und damit faktisch die administrativen Funktionen des Geräts vollständig zu übernehmen.

WhatsApp-Session-Cloning und Datendiebstahl

Eines der besorgniserregendsten Merkmale des NoVoice-Rootkits ist die Fähigkeit, WhatsApp-Sitzungen zu klonen. Durch den Erhalt von Root-Privilegien kann die Malware auf die privaten Datenordner anderer installierter Anwendungen zugreifen. Dies ermöglicht es den Angreifern, die standardmäßigen Sandbox-Schutzmechanismen zu umgehen und sensible Session-Token zu extrahieren. Wie IT Security News anmerkt, setzt diese Funktion Millionen von Nutzern dem Risiko von Identitätsdiebstahl und der Offenlegung privater Kommunikation aus.

Für Anwender, die um ihre mobile Privatsphäre besorgt sind, kann der Einsatz von SquirrelVPN eine entscheidende Schutzebene bilden. Durch die Maskierung des Datenverkehrs werden Man-in-the-Middle-Angriffe verhindert, die häufig dazu genutzt werden, das Herunterladen sekundärer Schadprogramme zu erleichtern. Die Persistenz des Rootkits wird durch die Modifikation von Systempartitionen erreicht, was es auf vielen älteren Geräten selbst gegen ein Zurücksetzen auf die Werkseinstellungen (Factory Reset) immun macht.

Persistenzmechanismen und technische Tiefenanalyse

Das NoVoice-Rootkit setzt auf eine mehrstufige Persistenzstrategie. Sobald der Root-Zugriff über die 22 bekannten Schwachstellen erfolgt ist, installiert sich der Schädling im /system-Verzeichnis, das normalerweise schreibgeschützt ist. Dies stellt sicher, dass das Kern-Rootkit aktiv bleibt, selbst wenn die ursprüngliche bösartige Anwendung aus dem Android-App-Drawer gelöscht wird. Detaillierte Analysen von Google News-Aggregatoren verdeutlichen, dass die Malware ihre Konfigurationsdateien oft in harmlos wirkenden Thumbnails versteckt, um einfachen Dateisystem-Scannern zu entgehen.

Technische Details zur Exploit-Kette deuten darauf hin, dass das Rootkit gezielt Sicherheitslücken im Linux-Kernel und in spezifischen Hardwaretreibern ausnutzt. Diese tiefgreifende Zugriffsebene erlaubt es der Malware:

  • Sämtliche ein- und ausgehenden Netzwerkpakete zu überwachen.
  • Tastatureingaben über manipulierte Eingabemethoden (IMEs) abzufangen.
  • Die Installation von Antiviren-Software oder Sicherheitsupdates zu blockieren.

Um diesen Bedrohungen auf Systemebene entgegenzuwirken, ist es entscheidend, die VPN-Technologie zu verstehen. Verschlüsselte Tunnel schützen Daten selbst dann, wenn das lokale Netzwerk eines Geräts kompromittiert ist. Deep Packet Inspection durch ISPs oder staatliche Überwachung kann durch robuste Tunneling-Protokolle abgewehrt werden, an deren Entschlüsselung NoVoice scheitert.

Bleiben Sie den neuesten Cybersicherheits-Bedrohungen einen Schritt voraus und schützen Sie Ihren digitalen Fußabdruck mit den aktuellen Erkenntnissen von SquirrelVPN. Entdecken Sie noch heute unsere hochmodernen Tools und Services, um Ihre Online-Privatsphäre zu stärken.

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

Verwandte Nachrichten

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Von Daniel Richter 17. April 2026 2 Minuten Lesezeit
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Von Elena Voss 16. April 2026 3 Minuten Lesezeit
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Von James Okoro 14. April 2026 3 Minuten Lesezeit
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Von Natalie Ferreira 13. April 2026 4 Minuten Lesezeit
common.read_full_article