Les chercheurs en sécurité ont découvert une campagne sophistiquée visant les appareils Android qui sont venus à être camouflés dans le magasin d'application officiel. Selon l'analyse publiée par McAfee Labs, plus de cinquante applications légitimes - des nettoyeurs et des galeries de photos aux jeux - ont caché un ensemble de composants malveillants que l'équipe a nommé NoVoice et qui, ensemble, ont été téléchargés au moins 2.3 millions de fois de Google Play. La chose la plus troublante n'était pas l'apparition des applications, mais l'agressivité et le niveau technique de malware qui a été activé une fois installé.( Rapport McAfee).
Les applications infectées ont besoin de permissions normales et ont effectué la fonction promise à l'écran, ce qui a facilité leur distribution. Après avoir ouvert l'une de ces applications, le code malveillant a commencé une série de contrôles pour déterminer si l'appareil était un objectif valide : il a exclu certaines régions géographiques - par exemple des zones spécifiques en Chine - et a effectué plus d'une douzaine de contrôles pour détecter les émulateurs, le débogage et les connexions VPN. Lorsque les conditions semblaient favorables, le malware a procédé régulièrement à télécharger des composants supplémentaires à partir d'un serveur de contrôle et à tester une batterie d'exploits spécifiques du noyau et du pilote pour obtenir des privilèges de racine; McAfee a documenté jusqu'à 22 exploits différents, certains d'entre eux basés sur des vulnérabilités d'utilisation-après-libre et les pannes de pilote GPU Mali qui avaient déjà des correctifs publiés entre 2016 et 2021 ( Android bulletin de sécurité, Mai 2021).
Une fois la racine atteinte, NoVoice a cessé d'être simplement une application malveillante : elle a remplacé les librairies système critiques par des "wrappers" qui ont intercepté les appels et redirigé l'exécution vers le code d'attaque. Il a également installé plusieurs mécanismes de persistance, tels que des scripts de récupération, un remplacement de gestionnaire de défaillance système qui agit comme un chargeur rootkit et des copies de sauvegarde dans la partition système. Cela signifie que les logiciels malveillants peuvent survivre même une restauration d'usine parce que les partitions qui hébergent il ne sont pas effacés avec cette opération. En outre, un démon de surveillance exécuté chaque minute vérifie l'intégrité de la rootkit et, s'il détecte des modifications, force à recommencer à réactiver l'infection ( SELinux documentation sur Android).
Le vecteur de livraison des composants supplémentaires était tout aussi ingénieux: les attaquants cachaient une charge utile chiffrée dans une image PNG à l'aide de techniques de stéganographie; ce fichier secret était extrait en mémoire en tant qu'APK et tous les fichiers intermédiaires avaient été enlevés pour rendre la reconstruction médico-légale difficile. Le paquet malveillant a été caché dans l'espace de noms d'application dans les classes avec des noms similaires au SDK de Facebook, qui a aidé à camoufler des artefacts malveillants entre le code légitime ( voir détails techniques dans McAfee).
Avec l'appareil déjà entre les mains des attaquants, NoVoice a déployé des modules qui ont été injectés dans n'importe quelle application que l'utilisateur a ouverte. Parmi les capacités observées figuraient l'installation silencieuse et la suppression des applications sans interaction du propriétaire, et un composant conçu pour fonctionner dans n'importe quelle application avec accès Internet pour extraire des données sensibles. McAfee a documenté un accent clair sur la messagerie: lorsqu'il a détecté le lancement de WhatsApp, les bases de données d'applications exfiltrées rootkit, les touches de protocole Signal utilisées par WhatsApp et d'autres identifiants qui permettent de cloner une session. Avec ces objets, les attaquants peuvent reproduire le compte de la victime sur un autre appareil et intercepter ainsi les messages et les contacts ( informations de sécurité de WhatsApp).
Les chercheurs n'ont pas attribué l'opération à un groupe spécifique, bien qu'ils aient souligné des similitudes techniques avec les familles de logiciels malveillants précédentes comme Triada, connue pour sa capacité à mettre en œuvre au niveau systémique sur les appareils Android. L'architecture modulaire NoVoice permet, en théorie, le remplacement du module WhatsApp par d'autres pour différentes applications ou services. Pour plus de contexte sur des menaces similaires, voir l'entrée de Kaspersky sur Triada ( Triade à Kaspersky).
Google a supprimé les applications Google Play identifiées après la notification McAfee, qui fait partie de l'Alliance de Défense App, une initiative pour renforcer l'examen des applications dans le magasin. Cependant, le simple fait que ces applications aient atteint des millions de téléchargements souligne un risque réel: ceux qui ont installé l'une des applications concernées devraient supposer que leur appareil est compromis. Une restauration standard peut ne pas être suffisante; dans de nombreux cas, il sera nécessaire d'aller au fabricant pour re-flasher le firmware ou recevoir un support spécialisé. Pour les utilisateurs qui veulent minimiser le risque immédiat, les mesures passent par la mise à jour du système à la dernière version de sécurité disponible et éviter d'installer des applications hors des sources de confiance. Google et d'autres fournisseurs recommandent de rester dans les modèles avec un support actif et d'appliquer des correctifs de sécurité mensuels qui ferment les vulnérabilités exploitées par NoVoice ( Conseils de protection pour Android et sur l'Alliance de Défense App).
Si vous pensez que votre téléphone pourrait être affecté par NoVoice, il est approprié de ne pas essayer des opérations complexes sans conseil: modifier les mots de passe critiques d'un appareil propre et examiner des mesures supplémentaires telles que la vérification en deux étapes pour des services tels que WhatsApp, et contacter le fabricant ou un service technique fiable pour évaluer la réinstallation médico-légale du système. Lorsque la menace implique la persistance au niveau du système, la seule garantie de nettoyage complète est généralement de remplacer ou de re-flâcher le firmware avec des images officielles. Ce cas est également un rappel qu'aucun magasin officiel n'est infaillible: prudence lors de l'installation des applications, même sur Google Play, et attention aux mises à jour de sécurité restent les meilleures défenses contre les menaces de plus en plus habiles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...