Дослідники кібербезпеки компанії McAfee виявили нову Android-шкідливу програму під назвою NoVoice. Вона була прихована у понад 50 додатках в офіційному магазині Google Play і сумарно набрала щонайменше 2,3 мільйони завантажень. Серед заражених додатків — утиліти для очищення телефону, фотогалереї та ігри. Усі вони виглядали і працювали цілком нормально, не вимагали підозрілих дозволів — що й дозволило шкідливому коду тривалий час залишатися непоміченим. Після запуску зараженого додатку шкідлива програма намагалася отримати привілейований доступ до пристрою, використовуючи вразливості Android, виправлені ще між 2016 та 2021 роками. McAfee зафіксувала використання 22 різних експлойтів, зокрема баги в ядрі системи та драйверах відеопроцесора Mali. Отримавши такий доступ, руткіт вимикає SELinux — базовий механізм захисту Android — та замінює ключові системні бібліотеки модифікованими версіями, які перехоплюють системні виклики.

Після успішного зараження кожен додаток, який відкриває користувач, автоматично отримує ін’єкцію шкідливого коду від зловмисників. McAfee відновила один із конкретних модулів, розроблений спеціально для атаки на WhatsApp: при запуску месенджера шкідливий код копіює зашифровані бази даних WhatsApp, викрадає ключі безпеки та дані сесії, надсилаючи все на сервери зловмисників, що дає змогу повністю клонувати обліковий запис WhatsApp жертви на іншому пристрої. Особливу небезпеку становить механізм збереження присутності: руткіт встановлює процес, який кожні 60 секунд перевіряє, чи активна шкідлива програма. Якщо система або користувач намагається її видалити — процес негайно відновлює заражені файли. Оскільки руткіт глибоко вбудовується у системний розділ пристрою, стандартне скидання до заводських налаштувань не видалить його — єдиний спосіб очищення це повний перепрошивальник. McAfee виявила технічні перетини між NoVoice та відомим сімейством Android-трояна Triada, зокрема однаковий механізм маркування заражених пристроїв та стратегію заміни бібліотеки libandroid_runtime.so. Після відповідального розкриття інформації Google видалив виявлені додатки з магазину та заблокував відповідні облікові записи розробників.