Site icon Global News

NoVoice : un rootkit caché dans le Play Store infecte 2,3 millions d’appareils — votre vieux téléphone est‑il déjà compromis ?

Global News

NoVoice : un rootkit Android diffusé via des applis du Play Store cible les vieux téléphones

Les chercheurs en sécurité viennent de mettre au jour une campagne particulièrement sophistiquée visant des appareils Android anciens et non patchés. Baptisé NoVoice, ce rootkit est capable d’obtenir un accès root complet sur le terminal, de persister après redémarrage et même après un reset d’usine, et il était discrètement distribué dans plus de 50 applications publiées sur le Play Store. Au total, ces applis auraient été téléchargées environ 2,3 millions de fois avant leur suppression par Google.

Technique d’infection : steganographie, SDK compromis et chaîne d’exploits

La méthode utilisée par les auteurs montre un niveau d’organisation élevé. Les applis malveillantes ne demandent pas de permissions manifestement suspectes et fournissent les fonctions annoncées, ce qui facilite la diffusion via les circuits officiels. Le composant malveillant était intégré dans des classes du SDK Facebook contenu dans ces applis. À l’exécution, un fichier chiffré enc.apk, dissimulé dans une image PNG par stéganographie, est chargé en mémoire puis déchiffré en h.apk.

Le code déchiffré installe ensuite une bibliothèque embarquant deux fichiers JAR :

  • le premier réalise des vérifications anti‑analyse (détection d’émulateur, de débogueur et de VPN) ;
  • le second contacte un serveur de commande et contrôle (C2), envoie des informations sur l’appareil et récupère des composants additionnels.

    • Parmi ces composants figurent 22 exploits ciblant des vulnérabilités d’Android corrigées entre 2016 et 2021. Ce faisceau d’exploits permet d’obtenir l’élévation de privilèges sur des terminaux qui n’ont pas reçu les correctifs de sécurité jusqu’au niveau 2021‑05‑01.

    Article à lire  VPN à 2 €/mois : l’offre CyberGhost est‑elle vraiment une affaire — ou un piège à éviter ?

    Impact : accès root, persistance et attaques ciblées sur WhatsApp

    Une fois la faille exploitée, le rootkit NoVoice remplace une bibliothèque système, intercepte les appels système et redirige l’exécution vers le code malveillant injecté. Cette technique permet aux attaquants de neutraliser des protections, d’injecter du code dans des processus légitimes et d’étendre leur contrôle sur l’appareil. NoVoice est persistant : il survit aux redémarrages et résiste à un “factory reset”. Le seul remède fiable identifié est la réinstallation complète du firmware (flashage), ce qui n’est pas accessible à la plupart des utilisateurs.

    Parmi les objectifs évoqués, WhatsApp est particulièrement visé : en volant des identifiants ou en clonant des sessions, les attaquants peuvent usurper des comptes, intercepter des conversations ou propager des campagnes de fraude via des contacts de la victime.

    Qui est touché ? appareils anciens et patchs manquants

    Les vulnérabilités exploitées ont été corrigées par Google entre 2016 et 2021. Par conséquent, sont à risque principalement les terminaux n’ayant pas reçu le patch de sécurité du 1er mai 2021. Il s’agit souvent de modèles plus anciens, d’appareils vendus par des constructeurs peu loquaces sur le support logiciel, ou de téléphones ayant été abandonnés par leur propriétaire.

  • Signes d’exposition : comportement anormal, applications qui s’ouvrent seules, batterie qui se vide rapidement, messages ou connexions étranges sur des comptes comme WhatsApp.
  • Détection : Google indique que Play Protect détecte désormais ces applications et les signale ; néanmoins, ce type de menace montre les limites des protections centrées sur le catalogue officiel.

    • Étendue de la menace et réponse de Google

    McAfee, qui a publié l’analyse, rapporte avoir identifié plus de 50 applications malveillantes sur le Play Store. Google a réagi en retirant les applis et en fermant les comptes des développeurs concernés. Play Protect est censé détecter les variantes connues, mais les chercheurs soulignent qu’une telle campagne exploitant la chaîne d’approvisionnement SDK (compromission d’un SDK tiers) complique la détection automatique.

    Article à lire  Operation Sentinel : 574 arrestations en Afrique — le réseau cybercriminel démantelé qui siphonnait des millions (les détails qui inquiètent)

    Que peuvent faire les utilisateurs affectés ?

  • Reflash du firmware : la seule méthode fiable pour éradiquer NoVoice est la réinstallation complète du firmware Android. Cela nécessite des compétences techniques ou l’intervention d’un service agréé.
  • Changer d’appareil : pour les utilisateurs incapables de flasher leur téléphone, le remplacement par un modèle à jour est la seule alternative sûre.
  • Vérifier les comptes sensibles : en cas d’accès suspect à WhatsApp ou à d’autres services, révoquer les sessions actives, activer la double authentification et surveiller les connexions.
  • Mettre à jour : maintenir le système d’exploitation et les applis à jour reste la meilleure prévention. Les correctifs de sécurité sont cruciaux.

    • Leçons pour l’écosystème mobile

    Plusieurs enseignements importants se dégagent :

  • La chaîne d’approvisionnement applicative est une cible : des SDK compromis ou injectés dans des applis légitimes permettent une propagation massive de code malveillant.
  • Le support logiciel des fabricants est une question de sécurité publique : l’obsolescence logicielle expose des millions d’utilisateurs à des campagnes de grande ampleur.
  • Les protections automatiques (Play Protect, sandboxes) sont utiles mais non infaillibles : une défense en profondeur, incluant déploiement rapide de correctifs, surveillance comportementale et sensibilisation des utilisateurs, est indispensable.

    • Recommandations pratiques pour organisations et particuliers

    Pour les entreprises, il est impératif de renforcer les politiques BYOD (Bring Your Own Device), d’imposer des niveaux de patch minimum et d’utiliser des solutions de gestion des terminaux mobiles (MDM) capables d’effectuer des inventaires et des actions de remédiation. Pour le grand public, la vigilance passe par des mises à jour régulières, la prudence quant aux applis installées (préférer des éditeurs fiables) et la sauvegarde régulière des données.

    Article à lire  Meta bloque les liens vers «ICE List» : censurer la traque des agents ou protéger des vies ? Découvrez pourquoi le réseau social a tranché

    La découverte de NoVoice rappelle brutalement que la sécurité mobile dépend autant de pratiques industrielles robustes que du comportement des utilisateurs. Tant que des pans entiers de l’écosystème Android resteront mal patchés, des campagnes de ce type pourront renaître et prospérer.

    Quitter la version mobile