Sebuah daemon pengawas berjalan setiap 60 detik untuk memeriksa integritas rootkit. Jika ada komponen yang hilang atau terdeteksi, daemon secara otomatis menginstal ulang komponen tersebut. Jika pemeriksaan mengalami kegagalan, perangkat dipaksa untuk reboot — memastikan rootkit dimuat ulang dalam kondisi sempurna.
Selektivitas Target: Menghindari China, Mendeteksi Emulator
McAfee mencatat satu detail yang mengungkap karakteristik pelaku: NoVoice secara aktif menghindari menginfeksi perangkat di Beijing dan Shenzhen. Selektivitas geografis ini adalah pola yang umum ditemukan pada aktor ancaman yang beroperasi dari — atau memiliki hubungan dengan — wilayah tersebut.
Selain itu, malware menerapkan 15 pemeriksaan untuk mendeteksi apakah ia sedang berjalan di lingkungan emulator, debugger, atau VPN — mekanisme yang digunakan peneliti keamanan untuk menganalisis perilaku malware. Jika terdeteksi berada di lingkungan analisis, NoVoice akan menahan diri dari mengeksekusi payload berbahaya. Namun jika izin lokasi tidak tersedia, rantai infeksi tetap dilanjutkan.
Para peneliti McAfee juga mencatat kemiripan teknis antara NoVoice dengan trojan Android Triada — salah satu keluarga malware Android paling canggih yang pernah didokumentasikan — meski belum dapat mengaitkan NoVoice secara definitif dengan pelaku ancaman manapun.
Respons Google: Dihapus, Tapi Perangkat Lama Tetap Rentan
Setelah McAfee melaporkan temuannya kepada Google, seluruh aplikasi pembawa NoVoice telah dihapus dari Play Store. Juru bicara Google memberikan pernyataan resmi:
“Sebagai lapisan pertahanan tambahan, Google Play Protect secara otomatis menghapus aplikasi-aplikasi ini dan memblokir pemasangan baru. Pengguna disarankan selalu menginstal pembaruan keamanan terbaru yang tersedia untuk perangkat mereka.”
Google juga mengonfirmasi bahwa perangkat yang telah menerima pembaruan keamanan sejak Mei 2021 terlindungi dari NoVoice, karena seluruh kerentanan yang dieksploitasi malware ini secara teknis sudah diperbaiki sebelum tanggal tersebut.
Namun ada satu kelompok pengguna yang posisinya kritis: mereka yang sudah menginstal aplikasi berbahaya tersebut sebelum penghapusan dari Play Store. Bagi kelompok ini, Google dan McAfee memiliki kesimpulan yang sama — perangkat dan data mereka harus dianggap sudah terkompromi.
Mengingat NoVoice menargetkan kerentanan yang diperbaiki hingga Mei 2021, memperbarui perangkat ke versi dengan patch keamanan terbaru secara efektif menutup jalur eksploitasi utama yang digunakan malware ini — meski tidak menghapus infeksi yang sudah terjadi di perangkat yang belum diperbarui.
Disclaimer: Artikel ini bersifat informatif dan edukatif berdasarkan temuan peneliti keamanan siber McAfee yang dipublikasikan melalui BleepingComputer. Jika Anda menduga perangkat Anda telah terinfeksi NoVoice, segera hubungi profesional keamanan siber dan jangan gunakan perangkat tersebut untuk transaksi finansial atau akses data sensitif hingga situasi terklarifikasi.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
