在“Play Market”中发现了数十个带有恶意NoVoice的应用程序，已被230万用户下载

简短摘要

在 Google Play Market 中发现了超过 50 款包含恶意代码 *NoVoice* 的应用。

- 病毒利用已知的 Android 漏洞（2016‑2021）获取 root 权限。
- 已被下载超过 2.3 百万次。
- 应用看起来像相册、游戏和“清理”工具——它们不需要可疑权限。

McAfee 专家确认存在威胁，但未能确定具体攻击者；病毒类似于 *Triada* 木马。

NoVoice 的工作原理
阶段 | 发生的事情 | 感染
---|---|---
恶意代码被放置在 `com.facebook✴.utils` 包中，伪装成 Facebook SDK。加密负载（`enc.apk`）隐藏在 PNG 图像内，从中提取文件 `h.apk` 并加载到内存。随后所有临时文件被删除。 | 设备若被识别为位于北京或深圳（中国），并通过 15 次检查（模拟器、调试器和 VPN），则过程停止；否则继续。 | 收集信息：恶意程序与远程服务器通信，发送内核版本、Android 系统、已安装应用列表以及 root 状态。请求每 60 秒重复一次。
McAfee 发现了 22 个漏洞（内核错误、内存泄漏、Mali 驱动漏洞）。它们打开 root shell 并禁用 SELinux。 | 持久化：获取 root 后，恶意程序替换系统库 `libandroid_runtime.so` 和 `libmedia_jni.so`，创建恢复脚本，替换崩溃处理器，并将备用负载保存在系统分区（重置时不被清除）。每 60 秒启动守护进程检查 rootkit 的完整性。 | 功能模块
1) 隐藏安装/卸载应用程序。
2) 连接任何互联网应用并窃取数据（通常是 WhatsApp）。打开聊天软件时，恶意程序获取数据库、加密键、电话号码和 Google Drive 中的备份，并发送到控制服务器。这使攻击者能够克隆 WhatsApp 会话。 | 模块化：病毒可以使用其他 payload 在设备上的任何应用中运行。

防护
- 2021 年 5 月之后更新的设备已不再易受攻击，因为漏洞已被修补。
- Google Play Protect 自动删除检测到的应用并阻止新安装。
- 建议用户定期安装所有可用的安全更新。

结论：*NoVoice* 是一种复杂的 rootkit，利用旧版 Android 漏洞获取 root 权限、隐藏感染并窃取热门应用中的数据。仅通过及时补丁和使用 Play Protect 才能实现防护。