Slett disse appene nå: Android-skadevaren overlever til og med fabrikknullstilling

Sikkerhetsforskere har avdekket en uvanlig hardnakket trussel som har gjemt seg i mer enn 50 apper på Google Play Store. Skadevaren, døpt NoVoice, har infisert minst 2,3 millioner enheter før Google fjernet appene, men kompromitterte telefoner forblir rammet selv etter en fabrikknullstilling.

Samtidig vokser flere andre kampanjer i bakgrunnen. Banktrojaneren Anatsa har sneket seg gjennom appbutikkens kontroller forkledd som en PDF-leser, og en ny russiskutviklet leieskadevare ved navn Albiriox tilbyr kriminelle direkte fjernkontroll over europeiske banktelefoner.

NoVoice gjemmer seg i systempartisjonen

NoVoice utnytter rundt 22 kjente sårbarheter for å skaffe seg rotrettigheter på enheten, ifølge en teknisk gjennomgang fra CyberInsider. Alle hullene ble lappet mellom 2016 og 2021, så Android-telefoner med sikkerhetsoppdateringer fra mai 2021 eller nyere er beskyttet.

Det spesielle med NoVoice er hvor dypt den graver seg ned. Skadevaren installerer gjenopprettingsskript, erstatter systemets krasjhåndterer med en rootkit-laster og legger reservepayloader på systempartisjonen. Den delen av lagringen tørkes ikke ved en standard fabrikknullstilling, og skadevaren overlever derfor en aggressiv opprydding, som McAfees forskere formulerer det. På eldre enheter med Android 7 eller tidligere er full omflashing av fastvaren eneste utvei.

Når NoVoice først er installert, kobler den seg til en kommandoserver og injiserer skadelig kode i alle apper som startes. På WhatsApp henter den ut Signal-protokollnøkler og kontoidentifikatorer som lar angriperne klone offerets konto til sin egen enhet.

SwiftClean og dusinvis av rengjøringsapper

Appene som har båret NoVoice opptrer som rengjørere, bildegallerier og småspill, og de leverer den lovede funksjonen. McAfee har bekreftet at SwiftClean var blant de infiserte appene, men har ikke publisert hele listen. Brukere som har installert ukjente «cleaner»- eller «booster»-apper de siste to årene, bør derfor anta at telefonen kan være rammet.

Av en eller annen grunn unngår NoVoice å infisere enheter i visse kinesiske byer, som Beijing og Shenzhen. Sammenhengen mellom skadevaren og en konkret trusselaktør er fortsatt ukjent.

Anatsa snek seg forbi i en PDF-leser

Banktrojaneren Anatsa benyttet en annen taktikk. En app ved navn Document Viewer – File Reader klatret opp på topplistene i Google Plays «Tools»-kategori og nådde omtrent 90 000 nedlastinger i løpet av en uke i juni 2025. Først etter at brukerbasen var stor nok, ble en oppdatering med skadelig kode rullet ut.

Anatsa stjeler bankopplysninger via skjermoverlegg og tastetrykklogging og kan overføre penger direkte fra enheten. Trojaneren har versert siden 2020 under navn som TeaBot og Toddler, og har de siste årene rullet ut nye kampanjer mot bankkunder i Europa og USA.

Albiriox leies ut for 720 dollar i måneden

Den nyeste trusselen er Albiriox, en russiskutviklet og russiskspråklig leieskadevare for Android som ble introdusert på private Telegram-kanaler i september 2025 og selges som tjeneste for 720 dollar per måned. Verktøyet inneholder en forhåndsdefinert liste på over 400 bank-, betalings- og kryptoapper og lar leietakerne ta full fjernkontroll over offerets telefon.

Den første observerte kampanjen rettet seg mot østerrikske brukere via SMS-lenker og falske Google Play-sider som etterlignet matvarekjeden PENNY. Sosial manipulasjon på tysk er et tydelig signal om at europeiske brukere er hovedmålet.

Parallelt sprer NFCShare-skadevaren seg via falske bankoppdateringer på GitHub, ifølge en analyse publisert tidligere i juni 2026. Den leser kortdata via telefonens NFC-brikke og har rammet kunder hos Deutsche Bank, CaixaBank og flere italienske institutter siden januar.

Slik sjekker du telefonen

Norske brukere bør gjøre tre ting nå. Først: gå inn i Innstillinger, sjekk installerte apper og slett alle «cleaner»-, «booster»- og PDF-apper du ikke aktivt bruker. Deretter: åpne Innstillinger, Sikkerhet, og kontroller at telefonen har en sikkerhetsoppdatering fra mai 2021 eller nyere. Eldre enheter er sårbare for NoVoice uansett hvor mange ganger du nullstiller dem.

Til slutt: installer aldri bank- eller betalingsapper via lenker i SMS, e-post eller chat. Last dem kun ned direkte fra bankens egen nettside eller fra en verifisert utgiver i Google Play, og vær ekstra skeptisk til SMS-er som etterligner kjente kjeder eller varsler om hastetiltak.