Malware Android NoVoice Infeksi 2,3 Juta Pengguna Lewat 50 Aplikasi di Google Play, Bertahan Meski Factory Reset
INFO TEKNO> Malware Android baru bernama NoVoice telah menginfeksi sekitar 2,3 juta pengguna melalui lebih dari 50 aplikasi yang tersebar di Google Play Store — dan yang membuatnya berbeda dari ancaman siber biasa adalah kemampuannya bertahan di dalam perangkat bahkan setelah factory reset dilakukan. Temuan ini diungkap oleh para peneliti di perusahaan keamanan siber McAfee, yang merupakan anggota dari App Defense Alliance bentukan Google.
Kamuflase Sempurna: Aplikasi Normal yang Menyimpan Muatan Berbahaya
NoVoice tidak datang dalam bentuk aplikasi mencurigakan dengan nama yang mengundang kecurigaan. Justru sebaliknya. Aplikasi-aplikasi yang menjadi vektor penyebarannya adalah jenis yang paling umum diunduh pengguna Android: aplikasi pembersih perangkat, galeri foto, dan game.
Tidak ada permintaan izin yang mencolok. Semua aplikasi menyediakan fungsi yang dijanjikan dan berjalan normal dari sudut pandang pengguna. Ini bukan kelemahan desain — ini strategi yang disengaja untuk memaksimalkan jumlah instalasi sebelum ancaman terdeteksi.
Komponen berbahaya NoVoice disembunyikan di dalam paket com.facebook.utils — dicampur bersama kelas-kelas SDK Facebook yang sah untuk menghindari deteksi. Teknik penyamaran ini membuat pemindai keamanan standar sulit membedakan mana kode legitimate dan mana muatan berbahaya.
Steganografi dan Teknik Penghapusan Jejak
Cara NoVoice mengekstraksi dirinya sendiri ke dalam sistem adalah demonstrasi teknik serangan yang terstruktur rapi. Sebuah muatan terenkripsi dalam format enc.apk disembunyikan di dalam berkas gambar PNG menggunakan teknik steganografi — menyembunyikan data di dalam gambar yang tampak normal.
Muatan tersebut kemudian diekstraksi sebagai h.apk dan dimuat langsung ke dalam memori sistem. Semua berkas perantara yang digunakan dalam proses ini dihapus secara otomatis untuk menghilangkan jejak forensik. Perangkat yang terinfeksi tidak menyimpan artefak yang mudah dideteksi oleh alat analisis standar.
Eksploitasi Kerentanan Lama: 22 Bug yang Seharusnya Sudah Tertutup
Setelah aplikasi berjalan, NoVoice segera berusaha memperoleh akses root pada perangkat korban. Target eksploitasinya bukan kerentanan zero-day baru — melainkan celah-celah keamanan Android yang sebenarnya sudah diperbaiki antara tahun 2016 hingga 2021.
Menurut laporan McAfee, tim peneliti mengamati 22 eksploitasi berbeda yang digunakan NoVoice, termasuk bug kernel use-after-free dan kelemahan pada driver GPU Mali. Kombinasi eksploitasi ini memberikan operator akses root shell penuh ke perangkat korban — dan yang lebih kritis, memungkinkan mereka menonaktifkan penerapan SELinux pada perangkat.
SELinux (Security-Enhanced Linux) adalah lapisan keamanan fundamental pada Android yang membatasi apa yang bisa dilakukan aplikasi di luar sandbox mereka. Menonaktifkannya secara efektif menghapus salah satu perlindungan terpenting yang dimiliki sistem operasi.
Command-and-Control: Agen yang Selalu Terhubung
NoVoice bukan malware statis yang hanya bekerja sekali. Ia membangun jalur komunikasi berkelanjutan dengan server command-and-control (C2) milik pelaku serangan.
Segera setelah berhasil berjalan, malware mengumpulkan profil lengkap perangkat korban — mencakup detail perangkat keras, versi kernel, versi Android, daftar aplikasi yang terinstal, dan status root — lalu mengirimkannya ke server C2 untuk menentukan strategi eksploitasi yang paling efektif bagi perangkat tersebut.
Selanjutnya, NoVoice memeriksa server C2 setiap 60 detik dan mengunduh komponen eksploitasi yang dikustomisasi khusus untuk model dan versi Android perangkat target. Pendekatan ini menjadikannya adaptif — bukan satu serangan universal, melainkan serangan yang disesuaikan dengan karakteristik setiap perangkat korban.
Rootkit yang Bertahan Melewati Factory Reset
Yang paling mengkhawatirkan dari NoVoice adalah arsitektur ketahanannya pasca-eksploitasi. Setelah berhasil melakukan root, malware mengganti pustaka sistem utama seperti libandroid_runtime.so dan libmedia_jni.so dengan versi yang dimodifikasi — hooked wrappers yang menyadap panggilan sistem dan mengalihkan eksekusi ke kode serangan.
Rootkit kemudian membangun beberapa lapisan mekanisme ketahanan secara bersamaan: menginstal skrip pemulihan, mengganti penangan kegagalan sistem dengan pemuat rootkit, dan menyimpan muatan cadangan di partisi sistem perangkat.
Partisi sistem adalah bagian penyimpanan yang tidak dihapus saat factory reset. Artinya, bahkan jika korban melakukan reset pabrik — langkah yang secara umum dianggap sebagai cara paling ampuh membersihkan perangkat yang terinfeksi — NoVoice tetap bertahan dan aktif kembali setelah booting.
Sebuah daemon pengawas berjalan setiap 60 detik untuk memeriksa integritas rootkit. Jika ada komponen yang hilang atau terdeteksi, daemon secara otomatis menginstal ulang komponen tersebut. Jika pemeriksaan mengalami kegagalan, perangkat dipaksa untuk reboot — memastikan rootkit dimuat ulang dalam kondisi sempurna.
Selektivitas Target: Menghindari China, Mendeteksi Emulator
McAfee mencatat satu detail yang mengungkap karakteristik pelaku: NoVoice secara aktif menghindari menginfeksi perangkat di Beijing dan Shenzhen. Selektivitas geografis ini adalah pola yang umum ditemukan pada aktor ancaman yang beroperasi dari — atau memiliki hubungan dengan — wilayah tersebut.
Selain itu, malware menerapkan 15 pemeriksaan untuk mendeteksi apakah ia sedang berjalan di lingkungan emulator, debugger, atau VPN — mekanisme yang digunakan peneliti keamanan untuk menganalisis perilaku malware. Jika terdeteksi berada di lingkungan analisis, NoVoice akan menahan diri dari mengeksekusi payload berbahaya. Namun jika izin lokasi tidak tersedia, rantai infeksi tetap dilanjutkan.
Para peneliti McAfee juga mencatat kemiripan teknis antara NoVoice dengan trojan Android Triada — salah satu keluarga malware Android paling canggih yang pernah didokumentasikan — meski belum dapat mengaitkan NoVoice secara definitif dengan pelaku ancaman manapun.
Respons Google: Dihapus, Tapi Perangkat Lama Tetap Rentan
Setelah McAfee melaporkan temuannya kepada Google, seluruh aplikasi pembawa NoVoice telah dihapus dari Play Store. Juru bicara Google memberikan pernyataan resmi:
“Sebagai lapisan pertahanan tambahan, Google Play Protect secara otomatis menghapus aplikasi-aplikasi ini dan memblokir pemasangan baru. Pengguna disarankan selalu menginstal pembaruan keamanan terbaru yang tersedia untuk perangkat mereka.”
Google juga mengonfirmasi bahwa perangkat yang telah menerima pembaruan keamanan sejak Mei 2021 terlindungi dari NoVoice, karena seluruh kerentanan yang dieksploitasi malware ini secara teknis sudah diperbaiki sebelum tanggal tersebut.
Namun ada satu kelompok pengguna yang posisinya kritis: mereka yang sudah menginstal aplikasi berbahaya tersebut sebelum penghapusan dari Play Store. Bagi kelompok ini, Google dan McAfee memiliki kesimpulan yang sama — perangkat dan data mereka harus dianggap sudah terkompromi.
Mengingat NoVoice menargetkan kerentanan yang diperbaiki hingga Mei 2021, memperbarui perangkat ke versi dengan patch keamanan terbaru secara efektif menutup jalur eksploitasi utama yang digunakan malware ini — meski tidak menghapus infeksi yang sudah terjadi di perangkat yang belum diperbarui.
Disclaimer: Artikel ini bersifat informatif dan edukatif berdasarkan temuan peneliti keamanan siber McAfee yang dipublikasikan melalui BleepingComputer. Jika Anda menduga perangkat Anda telah terinfeksi NoVoice, segera hubungi profesional keamanan siber dan jangan gunakan perangkat tersebut untuk transaksi finansial atau akses data sensitif hingga situasi terklarifikasi.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
