互联网防毒机构 McAfee 的行动安全研究团队，于 3 月底揭露了一项代码为“Operation NoVoice”的大型恶意软体攻击活动，进行“Rootkit 级别攻击”。恶意程式成功绕过审核，渗透进官方 Google Play 商店，潜伏在超过 50 款看似无害的 App 中，全球累计下载量已惊人地突破 230 万次。

伪装日常工具：渗透官方商店的“特洛伊木马”

在资安研究中，“Operation NoVoice”展现了极高的组织性与欺骗性。受感染的 50 多款 App 主要伪装成香港用家日常最常下载的实用工具，包括系统清理程式、相簿图片库、美颜相机以及简单的小游戏。当用家从 Google Play 商店安装并启动这些 App 时，它们表面上会提供宣称的功能以降低用家戒心，但实际在系统底层，一场针对装置控制权的入侵行动早已悄然展开。

这次攻击被命名为“NoVoice”，源于程式码中一个巧妙的伪装设计：恶意程式会加载一个名为 R.raw.novioce 的音讯档案（刻意将 Voice 拼错为 vioce），该档案内容完全静音。其目的是透过播放无声音讯，强行维持 Android 的“前景服务”（Foreground Service）运作。这种手法能有效避开系统的省电最佳化限制，确保恶意程式即便在用家未主动操作手机的情况下，依然能在背景持续执行且不被察觉。一旦受感染 App 被开启，它会立即连接远端伺服器，根据受害装置的硬件配置与软体环境，自动派送量身打造的“Root 漏洞攻击程式”，显示出背后组织具备深厚的技术架构。

目前已知受害案例的主要目标是窃取用户的 WhatsApp 资料。透过修改过的系统函式库，NoVoice 能直接存取 WhatsApp 的私有资料库并复制通讯凭证。这意味著攻击者无需获得用户的帐号密码，就能在远端设备上模拟用户身份，读取对话记录甚至发送诈骗讯息，对用户的隐私与社交关系构成直接威胁。

恢复原厂设定也无能为力

对于香港用家来说，最棘手的莫过于 NoVoice 的持续性。在搭载 Android 7 或更早版本的旧装置上，由于安全机制较弱，NoVoice 在取得权限后会将自身代码写入“系统分区”（System Partition）。这意味著一般用户就算恢复原厂设定（Factory Reset）对此恶意程式完全无效。

当恶意程式进入系统分区后，它就变成了操作系统的一部分。即使清空了所有用户资料与应用程式，只要装置重新开机，恶意程式就会随同系统核心一起载入，重新建立与伺服器的连结并持续运作。对于这些受害者而言，唯一的彻底清除方式是透过电脑连接，重新载入（Flash）官方的系统韧体映像档。

虽然资安数据显示，NoVoice 的主要受灾地区集中在开发中国家，如印度、尼日利亚及埃塞俄比亚等，这些地区的共同特点是预算型手机（Budget Devices）市占率极高，且用家普遍仍在使用较旧版本的 Android 系统。然而，香港用家亦不能掉以轻心。

在香港，不少长者仍在使用旧款型号的手机，或有家庭将旧电话、旧平板电脑留给小朋友作学习及娱乐之用。这些旧型装置往往已经停止了系统安全性更新，核心版本老旧，正好处于 NoVoice 所利用的 22 个漏洞涵盖范围内。由于 Google Play 商店具备全球性特质，任何下载了问题 App 的旧款 Android 装置都面临极高风险。

用户自保指南：系统更新是唯一屏障

针对这起严重的安全事件，Google 官方已在第一时间采取行动，将涉事的 50 多款应用程式下架并封锁相关开发者帐号。同时，Google Play Protect 机制也已更新特征码，主动提示已安装用户将其移除。

此外，如你的手机过旧，无法获得安全更新，应避免在该装置进行银行转帐或登入通讯软体。