50 aplikací z Google Play infikovalo 2,3 milionu telefonů malwarem, který přežije i tovární reset

Bezpečnostní tým McAfee Labs odhalil kampaň, v níž se rootkit NoVoice dostal přes oficiální Google Play do více než 50 aplikací s celkem 2,3 milionu stažení.

Zdroj fotografie: Picryl

Dne 31. března 2026 zveřejnil analytik Ahmad Zubair Zahid z McAfee Labs podrobnou zprávu o kampani nazvané Operation NoVoice. Popisuje v ní malware, který se tvářil jako neškodný čistič telefonu, galerie nebo hra, přitom na starších zařízeních dokázal získat plný přístup k systému a zapsat se tak hluboko, že ho neodstraní ani tovární reset. Než Google aplikace stáhl, nasbíraly dohromady minimálně 2,3 milionu stažení. Kolik telefonů bylo skutečně kompromitováno, nikdo veřejně nepotvrdil, a právě tady začíná podstatný rozdíl mezi alarmem a realitou.

Jak se NoVoice dostal do telefonu

Aplikace fungovaly přesně tak, jak slibovaly. Čistič čistil, galerie zobrazovala fotky, hra se dala hrát. Nechtěly neobvyklá oprávnění, nebudily podezření. Škodlivý kód se skrýval za koncovým markerem PNG obrázku, technicky šlo o polyglot soubor, který pro skener vypadal jako běžná grafika. Po spuštění aplikace se payload maskoval pod cestou připomínající Facebook SDK a spustil 15 kontrol, zda neběží v emulátoru nebo analytickém prostředí.

Teprve když prošel, odeslal na řídicí server (C2) profil zařízení: model, verzi jádra, úroveň bezpečnostní záplaty. Server na základě těchto dat vybral exploit šitý na míru. McAfee identifikoval celkem 22 různých exploitů, všechny mířily na zranitelnosti z let 2016 až 2021. Jinými slovy: telefon s bezpečnostní záplatou z května 2021 nebo novější nebyl vůči žádnému z nich zranitelný.

Proč nepomůže tovární reset

Běžný malware zůstává v uživatelské části úložiště. NoVoice jde hlouběji. Po úspěšném rootu:

• Vypne SELinux (bezpečnostní vrstvu jádra).
• Nahradí systémové knihovny „libandroid_runtime.so“ a „libmedia_jni.so“ vlastními verzemi.
• Patchuje bytecode Android frameworku, takže může spouštět kód uvnitř libovolné otevřené aplikace.
• Přidá opravné skripty a hlídací proces, který ho po případném smazání znovu obnoví.

Tovární reset maže uživatelská data, tedy fotky, aplikace a nastavení. Systémové rozdělení, kde sídlí knihovny a skripty, nechává nedotčené. Proto se malware po resetu „vzkřísí“. McAfee jako jedinou spolehlivou nápravu uvádí plný reflash čistého firmwaru od výrobce, tedy postup, který běžný uživatel bez návodu nebo servisu nezvládne.

Název kampaně vznikl z interního zdroje „novioce“: tichá audio stopa puštěná na nulovou hlasitost udržovala foreground service při životě, aniž uživatel cokoliv slyšel nebo viděl.

Koho se to týká, a koho ne

Hranice rizika je překvapivě ostrá. Podle technické zprávy McAfee Labs platí:

Stav zařízení	Míra ohrožení
Úroveň bezpečnostní záplaty starší než 2021-05-01, zejména Android 7 a nižší	Plný rootkit scénář včetně perzistence po resetu
Android 8–12L bez aktuálních záplat	Exploity mohly fungovat, záleží na konkrétní záplatě
Úroveň bezpečnostní záplaty 2021-05-01 a novější	Pozorované exploity podle McAfee i Googlu nefungují

Google ve vyjádření pro BleepingComputer potvrdil, že aktualizovaná zařízení nebyla vůči těmto exploitům zranitelná. Současně Play Protect identifikované aplikace automaticky blokuje a odstraňuje.

Nejvyšší koncentraci infekcí McAfee zaznamenal v Nigérii, Etiopii, Alžírsku, Indii a Keni, tedy v regionech, kde starší neaktualizované telefony tvoří velkou část trhu. Česká čísla veřejně dostupná nejsou, ale protože aplikace nebyly regionálně blokované, mohly být staženy i u nás.

Co udělat teď

Kompletní seznam 50 aplikací nebyl zveřejněn, potvrzené jsou jen kategorie: čističe, foto utility a hry od neznámých vývojářů. Praktické kroky:

• Zjistit úroveň bezpečnostní záplaty: Nastavení → O telefonu → Verze systému Android → Úroveň opravy zabezpečení. Datum květen 2021 a novější znamená, že pozorované exploity nemají šanci.
• Projít historii aplikací: Google Play → Profil → Správa aplikací a zařízení → Spravovat. Záložka „Nenainstalováno“ ukáže i dříve stažené aplikace.
• Spustit Play Protect: Google Play → Profil → Play Protect → Skenovat.
• U starého telefonu bez záplat: Pokud jste v minulosti instalovali neznámé čističe nebo galerie, považujte zařízení za potenciálně kompromitované. Jediná jistota je reflash firmwaru nebo výměna přístroje.

Selhání obchodu, nebo selhání ekosystému?

Google v roce 2025 zablokoval přes 1,75 milionu závadných aplikací a 80 tisíc vývojářských účtů. Play Protect denně provádí 350 miliard skenů. Přesto NoVoice prošel, a to díky sofistikované obfuskaci, steganografii a specifického stagingu, který se aktivoval až na reálném zařízení mimo analytické prostředí.

Hlavní pointa ale podle nás neleží v selhání Google Play. Obchod aplikace nakonec odstranil. Skutečný problém jsou stovky milionů telefonů, které od výrobce nedostaly bezpečnostní záplatu pět a více let. Na takovém zařízení nepomůže ani sebelepší kontrola obchodu, exploit míří na díru v systému, kterou nikdo nezacelil. Operation NoVoice je připomínkou, že nejslabším článkem není aplikace v obchodě, ale telefon, na který jeho výrobce dávno zapomněl.

V době zveřejnění výzkumu McAfee zůstávala řídicí infrastruktura kampaně aktivní. Jediný pozorovaný payload mířil na klonování WhatsApp session, ale pluginová architektura rootkitu umožňuje doručit cokoliv dalšího. Příběh Operation NoVoice nejspíš nekončí.