概要
McAfeeのモバイルセキュリティ研究チームは2026年4月1日、「Operation NoVoice」と名付けられたAndroidルートキットキャンペーンの詳細を公表した。このマルウェアはGoogle Play上でクリーナーアプリ、画像ギャラリー、ゲームなどに偽装した50以上のアプリを通じて配布され、少なくとも230万回ダウンロードされたことが確認されている。Google Playはレポートを受け取った後、対象アプリをストアから削除済みだ。Google Play Protectも感染済みアプリの自動削除と新規インストールのブロックを実施している。
感染手口と技術的詳細
感染はステルス性の高い多段階のプロセスで進む。悪意のあるコンポーネントは偽のFacebook SDKパッケージ内に隠蔽されており、PNGファイルにステガノグラフィーで埋め込まれた暗号化ペイロードがメモリ上に展開された後、痕跡を消すために中間ファイルが削除される。
マルウェアはエミュレーター・デバッガー・VPNを識別する15種類のチェックを実装し、北京や深センなど特定の中国地域のデバイスへの感染を意図的に回避していた。デバイス情報(ハードウェア構成、Androidバージョン、パッチレベル、インストール済みアプリ一覧)をC2サーバーへ送信した後、そのデバイスに最適化されたroot化エクスプロイトを受信する。研究者らは2016〜2021年の間にパッチが公開された脆弱性を対象とした22種類のエクスプロイトを特定しており、カーネルのuse-after-freeバグやMali GPUドライバの欠陥などが含まれる。
永続性とデータ窃取
root権限の取得に成功すると、マルウェアは重要なシステムライブラリをフック済みのバージョンに置き換え、システムコールを傍受可能な状態にする。さらに、リカバリースクリプトの設置、システムクラッシュハンドラの差し替え、システムパーティションへのフォールバックペイロード格納という複数の永続化レイヤーを構築する。60秒ごとに動作するウォッチドッグデーモンが欠損コンポーネントを自動再インストールし、チェック失敗時には強制再起動を実行する。このため、2021年5月以降のセキュリティパッチが適用されていないデバイスではファクトリーリセットでは除去できず、アクティブにサポートされている新しいデバイスへの乗り換えが唯一の現実的な対策となる。
デバイスへのroot化後は、起動されるすべてのアプリに攻撃者制御のコードが注入される。特にWhatsAppに対しては暗号化データベース、Signal Protocol鍵、電話番号、Google Driveバックアップ情報を窃取し、攻撃者が被害者のWhatsAppセッションをクローンできる状態にすることが確認された。
対策と推奨事項
Googleのスポークスマンは「2021年5月以降のアップデートを適用済みのデバイスは保護されている。悪用された脆弱性はすでに数年前にパッチが提供されている」と述べた。McAfeeは今回のキャンペーンを特定の脅威アクターに帰属させることはできなかったが、Triada Androidトロイの木馬との類似点が指摘されている。ユーザーは速やかにAndroidセキュリティアップデートを適用し、Play Protectを有効化することが強く推奨される。古いAndroidデバイスでセキュリティアップデートが提供されない場合は、デバイスの買い替えを検討すべきだ。