Malware Android NoVoice Infeksi 2,3 Juta Pengguna Lewat 50 Aplikasi di Google Play, Bertahan Meski Factory Reset
INFO TEKNO> Malware Android baru bernama NoVoice telah menginfeksi sekitar 2,3 juta pengguna melalui lebih dari 50 aplikasi yang tersebar di Google Play Store — dan yang membuatnya berbeda dari ancaman siber biasa adalah kemampuannya bertahan di dalam perangkat bahkan setelah factory reset dilakukan. Temuan ini diungkap oleh para peneliti di perusahaan keamanan siber McAfee, yang merupakan anggota dari App Defense Alliance bentukan Google.
Kamuflase Sempurna: Aplikasi Normal yang Menyimpan Muatan Berbahaya
NoVoice tidak datang dalam bentuk aplikasi mencurigakan dengan nama yang mengundang kecurigaan. Justru sebaliknya. Aplikasi-aplikasi yang menjadi vektor penyebarannya adalah jenis yang paling umum diunduh pengguna Android: aplikasi pembersih perangkat, galeri foto, dan game.
Tidak ada permintaan izin yang mencolok. Semua aplikasi menyediakan fungsi yang dijanjikan dan berjalan normal dari sudut pandang pengguna. Ini bukan kelemahan desain — ini strategi yang disengaja untuk memaksimalkan jumlah instalasi sebelum ancaman terdeteksi.
Komponen berbahaya NoVoice disembunyikan di dalam paket com.facebook.utils — dicampur bersama kelas-kelas SDK Facebook yang sah untuk menghindari deteksi. Teknik penyamaran ini membuat pemindai keamanan standar sulit membedakan mana kode legitimate dan mana muatan berbahaya.
Steganografi dan Teknik Penghapusan Jejak
Cara NoVoice mengekstraksi dirinya sendiri ke dalam sistem adalah demonstrasi teknik serangan yang terstruktur rapi. Sebuah muatan terenkripsi dalam format enc.apk disembunyikan di dalam berkas gambar PNG menggunakan teknik steganografi — menyembunyikan data di dalam gambar yang tampak normal.
Muatan tersebut kemudian diekstraksi sebagai h.apk dan dimuat langsung ke dalam memori sistem. Semua berkas perantara yang digunakan dalam proses ini dihapus secara otomatis untuk menghilangkan jejak forensik. Perangkat yang terinfeksi tidak menyimpan artefak yang mudah dideteksi oleh alat analisis standar.
Eksploitasi Kerentanan Lama: 22 Bug yang Seharusnya Sudah Tertutup
Setelah aplikasi berjalan, NoVoice segera berusaha memperoleh akses root pada perangkat korban. Target eksploitasinya bukan kerentanan zero-day baru — melainkan celah-celah keamanan Android yang sebenarnya sudah diperbaiki antara tahun 2016 hingga 2021.
Menurut laporan McAfee, tim peneliti mengamati 22 eksploitasi berbeda yang digunakan NoVoice, termasuk bug kernel use-after-free dan kelemahan pada driver GPU Mali. Kombinasi eksploitasi ini memberikan operator akses root shell penuh ke perangkat korban — dan yang lebih kritis, memungkinkan mereka menonaktifkan penerapan SELinux pada perangkat.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
