Sarimulya.id – Aplikasi malware Android NoVoice menyebar melalui lebih dari 50 aplikasi di Google Play Store dan menginfeksi sekitar 2,3 juta pengguna hingga April 2026. Peneliti keamanan siber McAfee mengungkap temuan kelompok aplikasi berbahaya yang menyamar sebagai pembersih perangkat, galeri foto, hingga game untuk mengelabui pemilik ponsel.
Para pelaku ancaman ini memanfaatkan celah keamanan perangkat yang sudah lama ada. Mereka melancarkan aksi jahat sejak Google memberikan patch keamanan untuk kerentanan tersebut pada rentang tahun 2016 hingga 2021. Operasi ini menargetkan pengguna yang belum memperbarui sistem operasi ke versi terbaru 2026.
Penyebaran Aplikasi Malware Android NoVoice
Penyebaran aplikasi malware Android NoVoice menunjukkan pola yang sangat terorganisir. Pengembang aplikasi ini menyembunyikan komponen jahat di dalam paket com.facebook.utils agar sistem keamanan Google Play Store tidak mudah mendeteksinya. Selain itu, mereka mencampurkan kode berbahaya tersebut bersama kelas SDK Facebook yang terlihat sah dan aman di mata pengguna.
Metode yang mereka gunakan melibatkan teknik steganografi yang canggih. Pelaku menyembunyikan muatan terenkripsi bernama enc.apk di dalam berkas gambar PNG. Setelah aplikasi korban jalankan, sistem mengekstraksi muatan tersebut menjadi berkas h.apk lalu memuatnya langsung ke memori sistem. Alhasil, pelaku berhasil menghapus semua berkas perantara guna melenyapkan jejak serangan dari deteksi antivirus standar.
Menariknya, para pelaku ancaman menerapkan 15 jenis pemeriksaan ketat pada perangkat korban. Mereka memantau keberadaan emulator, berbagai debugger, hingga penggunaan VPN. Jika perangkat tidak memenuhi kriteria target, malware tetap menjalankan rantai infeksi selama izin lokasi tidak menghalangi proses tersebut. Sebagai catatan, pelaku bahkan menghindari infeksi di wilayah tertentu seperti Beijing dan Shenzhen di China.
Strategi Operasi NoVoice di Perangkat Pengguna
Begitu sistem terinfeksi, aplikasi malware Android NoVoice segera menghubungi server command-and-control (C2) untuk mengirim data perangkat. Pelaku mengumpulkan berbagai informasi krusial seperti detail perangkat keras, versi kernel, versi Android, aplikasi yang pengguna instal, dan status akses root. Data ini membantu pelaku dalam menentukan strategi eksploitasi yang pas untuk setiap target perangkat.
Proses komunikasi antara perangkat korban dan server C2 terjadi dalam interval 60 detik. Dalam durasi tersebut, malware mengunduh berbagai komponen tambahan untuk mengeksekusi root pada sistem target. McAfee mencatat setidaknya 22 jenis eksploitasi, termasuk bug kernel use-after-free dan kelemahan pada driver GPU Mali.
| Aktivitas Utama | Dampak pada Perangkat |
|---|---|
| Eksekusi Root | Memberikan operator akses penuh shell root |
| Modifikasi SELinux | Menghilangkan perlindungan keamanan dasar sistem |
| Penggantian Pustaka | Menyadap panggilan sistem melalui hooked wrappers |
Setelah memperoleh akses root, malware menonaktifkan penerapan SELinux yang menjadi tembok perlindungan utama perangkat Android. Pelaku kemudian mengganti pustaka sistem seperti libandroid_runtime.so dan libmedia_jni.so dengan versi modifikasi. Dengan langkah ini, mereka bisa dengan mudah mengalihkan eksekusi sistem ke kode penyerang dan memanipulasi aktivitas perangkat secara bebas.
Ketahanan Rootkit pada Sistem Korban
Rootkit yang tertanam dalam sistem tersebut menunjukkan ketahanan luar biasa. Pelaku menginstal skrip pemulihan khusus serta mengganti penangan kegagalan sistem dengan pemuat kode jahat miliknya. Lebih dari itu, mereka menyimpan muatan cadangan pada partisi sistem agar tetap utuh meskipun pengguna melakukan factory reset.
Dampaknya, perangkat tetap terinfeksi meskipun pemilik telah mencoba membersihkan semua data pribadi. Daemon pengawas secara rutin berjalan setiap 60 detik untuk memverifikasi integritas rootkit tersebut. Jika sistem mendeteksi ada komponen yang hilang, daemon akan menginstal ulang bagian tersebut secara otomatis. Bahkan, sistem akan memicu reboot paksa jika pemeriksaan integritas gagal berfungsi secara normal.
Tindakan Google dan Pencegahan Keamanan
Pihak Google menindaklanjuti temuan ini setelah McAfee melaporkan operasi tersebut melalui program App Defense Alliance. Google segera menghapus aplikasi-aplikasi berbahaya itu dari Play Store. Google juga mengonfirmasi bahwa seluruh perangkat yang menjalankan pembaruan keamanan sejak Mei 2021 memiliki kekebalan alami terhadap eksploitasi serupa.
Google Play Protect secara otomatis juga menghapus aplikasi-aplikasi tersebut dari ponsel korban dan memblokir pemasangan baru. Namun, pengguna yang telanjur menginstal aplikasi tersebut sebelum pembersihan harus menganggap data mereka sudah kompromi. Mengganti kata sandi dan melakukan backup terhadap data penting menjadi langkah mitigasi wajib bagi pemilik perangkat terdampak.
Singkatnya, perbarui perangkat ke versi dengan patch keamanan 2026 terbaru untuk mengamankan sistem Anda. Selalu gunakan aplikasi hanya dari pengembang ternama dan hindari memberikan izin mencurigakan meskipun aplikasi terlihat menjanjikan fungsi yang berguna. Keamanan perangkat berada di tangan pengguna, maka pilihlah untuk tetap waspada dalam setiap unduhan aplikasi.