{"id":82957,"date":"2026-04-04T00:47:16","date_gmt":"2026-04-04T00:47:16","guid":{"rendered":"https:\/\/www.europesays.com\/at\/82957\/"},"modified":"2026-04-04T00:47:16","modified_gmt":"2026-04-04T00:47:16","slug":"millionen-android-geraete-mit-tueckischem-rootkit-infiziert","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/at\/82957\/","title":{"rendered":"Millionen Android-Ger\u00e4te mit t\u00fcckischem Rootkit infiziert"},"content":{"rendered":"

Eine hochgef\u00e4hrliche Rootkit-Kampagne hat \u00fcber 50 getarnte Apps mindestens 2,3 Millionen Android-Ger\u00e4te kompromittiert. Sie nutzt alte Sicherheitsl\u00fccken und ist extrem persistent.<\/p>\n

Eine neue, hochgef\u00e4hrliche Malware-Kampagne hat \u00fcber den Google Play Store mindestens 2,3 Millionen Android-Ger\u00e4te kompromittiert. Die als Operation NoVoice bekannte Attacke nutzte \u00fcber 50 scheinbar harmlose Apps als Trojaner und setzt neue Ma\u00dfst\u00e4be in Tarnung und Widerstandsf\u00e4higkeit.<\/p>\n

Die Entdeckung, die Sicherheitsforscher von McAfee diese Woche \u00f6ffentlich machten, unterstreicht eine anhaltende Bedrohung: Kriminelle schleusen \u00fcber t\u00e4uschend echte Anwendungen wie Systemcleaner, Bildergalerien oder einfache Spiele hochgef\u00e4hrliche Rootkits ein. Obwohl Google die betroffenen Apps bereits aus seinem Store entfernt hat, warnen Experten vor den ausgekl\u00fcgelten Persistenz-Mechanismen der Schadsoftware. Sie zielt gezielt auf \u00e4ltere Android-Versionen ab und nutzt Sicherheitsl\u00fccken aus, die zwar in aktuellen System-Updates l\u00e4ngst geschlossen sind, aber auf Millionen noch genutzter Altger\u00e4te bestehen.<\/p>\n

Anzeige<\/p>\n

Millionen Deutsche nutzen t\u00e4glich Online-Banking oder WhatsApp per Smartphone \u2013 doch ohne die richtigen Sicherheitsvorkehrungen riskieren Sie Datenverlust und finanzielle Sch\u00e4den. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schutzma\u00dfnahmen, mit denen Sie Ihr Android-Ger\u00e4t sofort wirksam absichern. Gratis-PDF: 5 Schutzma\u00dfnahmen f\u00fcr Ihr Android-Smartphone sichern<\/a><\/p>\n

Tarnkappen-Malware: Versteckt in Bildern, aktiv durch Stille<\/p>\n

Die technische Raffinesse von Operation NoVoice ist bemerkenswert. Die Angreifer nutzten Steganographie, um verschl\u00fcsselte Schadpayloads in harmlos wirkenden PNG-Bilddateien zu verstecken. Nach der Installation einer infizierten App extrahiert diese eine versteckte APK-Datei und l\u00e4dt sie direkt in den Systemspeicher. Diese Methode umgeht herk\u00f6mmliche, dateibasierte Erkennungssysteme, die nach bekannten Malware-Signaturen suchen.<\/p>\n

Ein einzigartiges Merkmal ist die Nutzung einer lautlosen Audiodatei mit dem Codenamen „novioce“. Diese Datei wird mit Null-Lautst\u00e4rke im Hintergrund abgespielt \u2013 ein Trick, um die Hintergrunddienste der Malware am Leben zu halten. Das Android-Betriebssystem beendet Prozesse normalerweise, um Akku oder Speicher zu schonen. Die \u201estille\u201c Persistenz stellt jedoch sicher, dass die Schadsoftware ununterbrochen operieren kann. Sie kommuniziert alle 60 Sekunden mit Command-and-Control-Servern, um neue Anweisungen zu erhalten oder weitere Schadcodes nachzuladen.<\/p>\n

Bei der Malware handelt es sich um ein Rootkit, das administrativen Root-Zugriff auf das Ger\u00e4t erlangen will. Laut McAfee-Angaben versucht die Software, etwa 22 verschiedene bekannte Schwachstellen auszunutzen, darunter Kernel-Bugs und GPU-Treiberfehler. Im Erfolgsfall kann sie Systembibliotheken modifizieren und Recovery-Skripte installieren, was eine Entfernung extrem schwierig macht. In vielen F\u00e4llen \u00fcberlebt die Infektion sogar einen Werksreset \u2013 ein Persistenz-Level, das bei gew\u00f6hnlicher Consumer-Malware selten ist.<\/p>\n

T\u00e4uschungsman\u00f6ver und globale Verbreitung<\/p>\n

Der Erfolg der Kampagne basiert auf der Tarnung. Im Gegensatz zu vielen Schadprogrammen, die sofort \u00fcberm\u00e4\u00dfige Berechtigungen anfordern, funktionierten die Apps von Operation NoVoice zun\u00e4chst genau wie beworben. Nutzer, die einen Cleaner oder ein Spiel herunterluden, erhielten die versprochene Funktion. Diese „Benign-First“-Strategie erm\u00f6glichte es den Apps, \u00fcber 2,3 Millionen Downloads zu sammeln, bevor Sicherheitsforscher sie entdeckten.<\/p>\n

Die Infektionen sind global, konzentrieren sich aber auf Regionen mit vielen Altger\u00e4ten. Die h\u00f6chsten Infektionsraten verzeichneten laut Daten Nigeria, \u00c4thiopien, Algerien, Indien und Kenia. Diese regionale Fokussierung liegt nahe, da die Malware auf Schwachstellen angewiesen ist, die zwischen 2016 und 2021 gepatcht wurden. Ger\u00e4te mit neueren Sicherheits-Updates sind immun, doch die Masse alter Ger\u00e4te in diesen M\u00e4rkten bot eine riesige Angriffsfl\u00e4che.<\/p>\n

Das Hauptziel des Rootkits ist Datendiebstahl und Account-\u00dcbernahme. Die Software zielt speziell auf Sitzungsdaten von Messengern wie WhatsApp ab. Durch den Diebstahl dieser Informationen k\u00f6nnen Angreifer Nutzerkonten auf eigenen Ger\u00e4ten klonen. Sie erhalten so Zugriff auf private Chats und k\u00f6nnen Nachrichten im Namen des Opfers versenden. Zudem enth\u00e4lt die Malware Komponenten f\u00fcr stilles App-Management, das die Installation weiterer Schadsoftware oder betr\u00fcgerische Werbeaktionen im Hintergrund erm\u00f6glicht.<\/p>\n

Anzeige<\/p>\n

Ein veraltetes Smartphone oder eine unbedachte App-Installation kann zur offenen Haust\u00fcr f\u00fcr Cyberkriminelle werden, die es auf Ihre privaten Nachrichten und Passw\u00f6rter abgesehen haben. Erfahren Sie in diesem kostenlosen Report, wie Sie gef\u00e4hrliche Sicherheitsl\u00fccken schlie\u00dfen und Ihr Ger\u00e4t mit den richtigen Updates dauerhaft sch\u00fctzen. Kostenlosen Android-Sicherheits-Report jetzt herunterladen<\/a><\/p>\n

Googles Reaktion und das Problem der Altger\u00e4te<\/p>\n

Google best\u00e4tigte am 3. April 2026, alle identifizierten b\u00f6sartigen Apps entfernt zu haben. Ein Unternehmenssprecher betonte, Google Play Protect sei aktualisiert worden, um die Apps auch auf infizierten Ger\u00e4ten zu erkennen und zu l\u00f6schen. Allerdings wies Google darauf hin, dass die ausgenutzten Schwachstellen bereits in Sicherheitsupdates vor Jahren behoben wurden. Jedes Ger\u00e4t mit einem Sicherheitspatch-Level von Mai 2021 oder neuer sei gegen die prim\u00e4re Angriffskette gesch\u00fctzt.<\/p>\n

Dennoch stellt die Widerstandsf\u00e4higkeit des NoVoice-Rootkits f\u00fcr Nutzer \u00e4lterer Ger\u00e4te ein gro\u00dfes Problem dar. Da die Malware Systemdateien ersetzen kann, reichen das L\u00f6schen der App oder ein Werksreset oft nicht aus. Experten raten betroffenen Nutzern, die Firmware ihres Ger\u00e4ts komplett neu zu flashen \u2013 ein f\u00fcr Durchschnittsanwender oft zu technischer Prozess.<\/p>\n

Der Vorfall beleuchtet eine wachsende Sicherheitsl\u00fccke zwischen modernen Flaggschiff-Ger\u00e4ten und hunderten Millionen noch genutzten Budget- oder Alt-Smartphones. W\u00e4hrend Google und Hersteller wie Samsung ihre Update-Zyklen verbessern \u2013 Samsung rollt seinen April-2026-Sicherheitspatch diese Woche f\u00fcr die Galaxy S26- und S25-Serie aus \u2013 erreichen \u00e4ltere Modelle oft ihr End-of-Life f\u00fcr Software-Support, w\u00e4hrend sie physisch noch funktionieren. Sie bleiben damit anf\u00e4llig f\u00fcr recycelte Exploits.<\/p>\n

Im Fokus: Immer tiefere Angriffe auf Mobilger\u00e4te<\/p>\n

Operation NoVoice ist nicht die einzige gro\u00dfe Sicherheitsbedrohung f\u00fcr Android-Nutzer in diesem Fr\u00fchjahr. Bereits im M\u00e4rz und in der ersten Aprilwoche 2026 tauchten Berichte \u00fcber eine kritische Zero-Day-Schwachstelle in Qualcomm-Chipsets auf, registriert als CVE-2026-21385. Dieser Fehler, der Speicherbesch\u00e4digungen in Grafikkomponenten betrifft, wird laut Berichten in begrenzten, gezielten Angriffen genutzt. W\u00e4hrend der Qualcomm-Bug von der NoVoice-Kampagne unabh\u00e4ngig ist, unterstreichen beide Entwicklungen einen Trend: Angreifer dringen immer tiefer in die Hardware- und Kernel-Ebene von Mobilger\u00e4ten vor.<\/p>\n

Die Reaktionen des Markts waren schnell. Cybersicherheitsfirmen dr\u00e4ngen Organisationen dazu, striktere Mobile Device Management (MDM)-Richtlinien durchzusetzen. Analysten weisen darauf hin, dass mit dem Smartphone als prim\u00e4rem Zugang zu pers\u00f6nlichem Banking und Unternehmensnetzwerken der Wert eines persistenten Rootkits wie NoVoice im Darknet erheblich gestiegen ist. Es gibt auch Hinweise, dass \u00e4hnliche Malware-as-a-Service (MaaS)-Toolkits \u2013 wie der k\u00fcrzlich entdeckte Banking-Trojaner „Mirax“ \u2013 an Cyberkriminelle f\u00fcr Tausende Dollar pro Monat vermietet werden. Das professionalisiert die mobile Bedrohungslandschaft weiter.<\/p>\n

Die Zukunft: Verhaltensanalyse statt Eingangskontrolle<\/p>\n

Die Cybersicherheits-Community erwartet eine weitere Evolution der Methoden, mit denen Malware App-Store-Schutzma\u00dfnahmen umgeht. Die Nutzung von „Dropper“-Apps, die wochenlang harmlos bleiben, bevor sie ein b\u00f6sartiges Update erhalten, wird zum Standardtaktik. Forscher schlagen vor, dass k\u00fcnftige Sicherheitsmodelle auf kontinuierliche Verhaltens\u00fcberwachung setzen m\u00fcssen, anstatt sich nur auf Inspektionen zum Installationszeitpunkt zu verlassen.<\/p>\n

F\u00fcr Verbraucher bleibt der Rat konsistent, doch dringlicher: Aktuelle Software ist die wirksamste Verteidigung. Da Angreifer weiterhin alte Schwachstellen ausbeuten, um die riesige Installationsbasis alter Android-Ger\u00e4te zu targeten, wird die Forderung nach l\u00e4ngerem Software-Support von Herstellern zu einem zentralen Thema des Verbraucherschutzes werden. Nutzer sollten jetzt ihr Sicherheitspatch-Level in den Ger\u00e4teeinstellungen pr\u00fcfen und selbst bei hoch bewerteten Utility-Apps von unbekannten Entwicklern vorsichtig sein.<\/p>\n","protected":false},"excerpt":{"rendered":"Eine hochgef\u00e4hrliche Rootkit-Kampagne hat \u00fcber 50 getarnte Apps mindestens 2,3 Millionen Android-Ger\u00e4te kompromittiert. Sie nutzt alte Sicherheitsl\u00fccken und…\n","protected":false},"author":2,"featured_media":82958,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[1690,1392,46,42,1389,31564,4888,44,31565,31566,97,96,9323,101,98,100,99],"class_list":{"0":"post-82957","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-android-geraete","9":"tag-apps","10":"tag-at","11":"tag-austria","12":"tag-millionen","13":"tag-novoice","14":"tag-operation","15":"tag-oesterreich","16":"tag-rootkit","17":"tag-rootkit-kampagne","18":"tag-science","19":"tag-science-technology","20":"tag-sicherheitsluecken","21":"tag-technik","22":"tag-technology","23":"tag-wissenschaft","24":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@at\/116343684838469256","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/82957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/comments?post=82957"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/82957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media\/82958"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media?parent=82957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/categories?post=82957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/tags?post=82957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}