Malware v 50 aplikacích z Google Play nakazil 2,3 milionu telefonů a přežije i tovární reset

Rootkit NoVoice přepsal systémové knihovny Androidu a na starších telefonech bez záplat ho nesmaže ani obnovení do továrního nastavení.

Zdroj fotografie: Unsplash

Poslední březnový den roku 2026 zveřejnil tým McAfee Labs technickou analýzu kampaně pojmenované Operation NoVoice. Více než padesát aplikací v Google Play – čističe paměti, VPN, fotoeditory, jednoduché hry – fungovalo přesně podle popisu a nežádalo podezřelá oprávnění. Uvnitř ale nesly škodlivý kód zamaskovaný pod jménem připomínajícím Facebook SDK. Součet stažení těchto aplikací dosáhl 2,3 milionu. To neznamená 2,3 milionu úspěšně napadených telefonů, znamená to 2,3 milionu příležitostí, z nichž se reálně proměnily jen ty na nezáplatovaných zařízeních.

Tři úrovně rizika, ne jedna

Číslo v titulku je lákavě děsivé, ale realita má stupně. První úroveň: uživatel si aplikaci stáhl. Druhá: aplikaci otevřel a ta profilovala zařízení, verzi systému, úroveň záplat, výrobce, přítomnost emulátoru nebo debuggeru. Třetí, nejhorší: telefon měl bezpečnostní záplatu starší než květen 2021 a malware úspěšně využil jednu z 22 exploitačních cest k získání rootu.

McAfee výslovně uvádí, že zařízení s úrovní záplat 1. 5. 2021 a novější nebyla náchylná k exploitům, které výzkumníci získali z řídicího serveru útočníků. Jinými slovy: kdo má relativně aktuální telefon, pravděpodobně zůstal na druhé úrovni, profilován, ale ne kompromitován.

Jak rootkit přežije reset

Tovární reset na Androidu smaže uživatelská data a odinstaluje aplikace. Systémový oddíl ale nechává nedotčený, a právě tam se NoVoice usadil.

Po získání rootu malware:

• Nahradil klíčové systémové knihovny libandroid_runtime.so a libmedia_jni.so vlastními verzemi.
• Modifikoval překompilovaný framework bytecode, čímž získal schopnost injektovat kód do každé spuštěné aplikace.
• Uložil záložní kopii exploitační fáze přímo na systémový oddíl.
• Spustil watchdog proces, který každých 60 sekund kontroluje integritu svých komponent a chybějící části znovu nainstaluje.

Reset tedy odstraní stopy z uživatelského prostoru, ale systémové knihovny zůstanou přepsané. Telefon se restartuje „čistý“, s rootkitem stále uvnitř.

Co NoVoice kradl, a proč zrovna WhatsApp

Jediný veřejně potvrzený payload, který McAfee z řídicího serveru získal, cílil na WhatsApp. Kopíroval šifrované databáze konverzací, Signal identity keys, registration ID, prekeys, telefonní číslo a údaje o záloze na Google Drive. Dohromady materiál potřebný ke klonování celé relace, útočník tak může číst zprávy, aniž by lámal end-to-end šifrování.

Pluginový framework ale umí přijmout libovolný další úkol pro jakoukoli aplikaci. V době publikace analýzy byla řídicí infrastruktura stále aktivní. McAfee získal jen jeden konkrétní payload; co dalšího servery distribuovaly nebo distribuují, zůstává otevřené.

Jak zjistit, zda jste v ohrožení

Praktický rozhodovací strom:

1. Zkontrolujte historii aplikací. McAfee zveřejnil seznam identifikátorů balíčků (package IDs), mezi nimi například com.wififinder.wificonnect, com.crazycodes.airvpn, com.myapps.gooble.mobile1.maxclean nebo com.game.ludoplay. Kompletní výčet je v technické analýze.
2. Ověřte datum bezpečnostní záplaty. V Nastavení → O telefonu → Aktualizace zabezpečení Androidu. Pokud je datum 1. 5. 2021 nebo novější, exploity z kampaně na vás podle McAfee nefungovaly.
3. Spusťte Play Protect. V Obchodu Play → profil → Play Protect → Zkontrolovat. Google po nahlášení aplikace odstranil a zablokoval vývojářské účty.

Situace	Doporučení
Aplikaci jste neměli	Žádná akce, aktualizujte systém jako obvykle
Aplikaci jste měli, záplata ≥ 1. 5. 2021	Odinstalovat, aktualizovat systém, sledovat výstrahy Play Protect
Aplikaci jste měli, záplata < 1. 5. 2021	Považovat zařízení za kompromitované; řešení je přeflashování čistého firmwaru od výrobce
Výrobce firmware už neposkytuje	Zařízení vyřadit z citlivého provozu nebo vyměnit

Co to říká o bezpečnosti Google Play

NoVoice není důkaz, že Play Store je k ničemu. Aplikace prošly kontrolou proto, že fungovaly legitimně, používaly běžná SDK (Firebase, Google Analytics), nežádaly nezvyklá oprávnění a škodlivý payload schovaly do polyglot PNG souboru v assets. Patnáct anti-analytických kontrol, detekce emulátoru, debuggeru, VPN, Xposed frameworku a GPS geofencing vylučující Peking a Šen-čen, navíc zajistilo, že se malware v sandboxu bezpečnostních skenerů neprojevil.

Skutečný problém je jinde: bezpečnost Androidu se v praxi láme na tom, zda telefon ještě dostává systémové záplaty. Starý, nepodporovaný telefon s funkčním displejem a baterií vypadá „ještě dobrý“. Pro bankovnictví, komunikátory a cokoli citlivého ale představuje otevřené dveře, a NoVoice je přesně ten typ hosta, který jimi projde.