網路防毒機構 McAfee 的行動安全研究團隊，於 3 月底揭露了一項代碼為「Operation NoVoice」的大型惡意軟體攻擊活動，進行「Rootkit 級別攻擊」。惡意程式成功繞過審核，滲透進官方 Google Play 商店，潛伏在超過 50 款看似無害的 App 中，全球累計下載量已驚人地突破 230 萬次。

偽裝日常工具：滲透官方商店的「特洛伊木馬」

在資安研究中，「Operation NoVoice」展現了極高的組織性與欺騙性。受感染的 50 多款 App 主要偽裝成香港用家日常最常下載的實用工具，包括系統清理程式、相簿圖片庫、美顏相機以及簡單的小遊戲。當用家從 Google Play 商店安裝並啟動這些 App 時，它們表面上會提供宣稱的功能以降低用家戒心，但實際在系統底層，一場針對裝置控制權的入侵行動早已悄然展開。

這次攻擊被命名為「NoVoice」，源於程式碼中一個巧妙的偽裝設計：惡意程式會加載一個名為 R.raw.novioce 的音訊檔案（刻意將 Voice 拼錯為 vioce），該檔案內容完全靜音。其目的是透過播放無聲音訊，強行維持 Android 的「前景服務」（Foreground Service）運作。這種手法能有效避開系統的省電最佳化限制，確保惡意程式即便在用家未主動操作手機的情況下，依然能在背景持續執行且不被察覺。一旦受感染 App 被開啟，它會立即連接遠端伺服器，根據受害裝置的硬件配置與軟體環境，自動派送量身打造的「Root 漏洞攻擊程式」，顯示出背後組織具備深厚的技術架構。

目前已知受害案例的主要目標是竊取用戶的 WhatsApp 資料。透過修改過的系統函式庫，NoVoice 能直接存取 WhatsApp 的私有資料庫並複製通訊憑證。這意味著攻擊者無需獲得用戶的帳號密碼，就能在遠端設備上模擬用戶身份，讀取對話記錄甚至發送詐騙訊息，對用戶的隱私與社交關係構成直接威脅。

恢復原廠設定也無能為力

對於香港用家來說，最棘手的莫過於 NoVoice 的持續性。在搭載 Android 7 或更早版本的舊裝置上，由於安全機制較弱，NoVoice 在取得權限後會將自身代碼寫入「系統分區」（System Partition）。這意味著一般用戶就算恢復原廠設定（Factory Reset）對此惡意程式完全無效。

當惡意程式進入系統分區後，它就變成了操作系統的一部分。即使清空了所有用戶資料與應用程式，只要裝置重新開機，惡意程式就會隨同系統核心一起載入，重新建立與伺服器的連結並持續運作。對於這些受害者而言，唯一的徹底清除方式是透過電腦連接，重新載入（Flash）官方的系統韌體映像檔。

雖然資安數據顯示，NoVoice 的主要受災地區集中在開發中國家，如印度、尼日利亞及埃塞俄比亞等，這些地區的共同特點是預算型手機（Budget Devices）市佔率極高，且用家普遍仍在使用較舊版本的 Android 系統。然而，香港用家亦不能掉以輕心。

在香港，不少長者仍在使用舊款型號的手機，或有家庭將舊電話、舊平板電腦留給小朋友作學習及娛樂之用。這些舊型裝置往往已經停止了系統安全性更新，核心版本老舊，正好處於 NoVoice 所利用的 22 個漏洞涵蓋範圍內。由於 Google Play 商店具備全球性特質，任何下載了問題 App 的舊款 Android 裝置都面臨極高風險。

用戶自保指南：系統更新是唯一屏障

針對這起嚴重的安全事件，Google 官方已在第一時間採取行動，將涉事的 50 多款應用程式下架並封鎖相關開發者帳號。同時，Google Play Protect 機制也已更新特徵碼，主動提示已安裝用戶將其移除。

此外，如你的手機過舊，無法獲得安全更新，應避免在該裝置進行銀行轉帳或登入通訊軟體。