Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

NoVoice Android malware on Google Play infected 2.3 million devices

1 minute de lecture

Mis à jour :

Menace NoVoice : un rootkit Android persistant sur le Google Play Store

Le logiciel malveillant « NoVoice » a infecté plus de 2,3 millions d’appareils via une cinquantaine d’applications légitimes (nettoyeurs, jeux, galeries photos) sur le Google Play Store. Ce malware utilise des techniques de stéganographie pour dissimuler sa charge utile et exploite d’anciennes vulnérabilités pour obtenir un accès root total sur les systèmes non mis à jour.

Points clés :

  • Propagation furtive : Le code malveillant est dissimulé dans le package com.facebook.utils et utilise une image PNG (via stéganographie) pour extraire sa charge utile en mémoire.
  • Techniques de rootkit : Une fois le contrôle total obtenu, le malware remplace des bibliothèques système critiques (libandroid_runtime.so, libmedia_jni.so), désactive SELinux et installe des scripts de persistance dans la partition système, rendant l’infection résiliente même après une réinitialisation d’usine.
  • Espionnage ciblé : Le malware injecte du code dans les applications lancées par l’utilisateur pour exfiltrer des données. Il cible prioritairement WhatsApp en volant les clés du protocole Signal, les bases de données chiffrées et les identifiants de compte pour cloner les sessions des victimes.
  • Évitement : Le malware intègre des vérifications pour détecter les émulateurs, débogueurs et VPN, et évite intentionnellement certaines régions (Pékin, Shenzhen).

Vulnérabilités exploitées :

  • Le malware tire parti d’une série de 22 failles (incluant des vulnérabilités de type use-after-free du noyau et des défauts des pilotes GPU Mali) datant de 2016 à 2021. Bien qu’aucune CVE spécifique ne soit citée, ces failles ont été corrigées par Google dans les correctifs de sécurité Android postérieurs à mai 2021.

Recommandations :

  • Mise à jour système : Installer les correctifs de sécurité les plus récents. Les appareils bénéficiant de mises à jour après mai 2021 sont immunisés contre les exploits actuels de NoVoice.
  • Hygiène applicative : Limiter l’installation d’applications aux éditeurs reconnus et de confiance, même sur le Play Store.
  • Réaction en cas d’infection : Si une application suspecte a été installée, le dispositif doit être considéré comme compromis de manière critique. Une simple réinitialisation d’usine étant insuffisante, le remplacement de l’appareil ou une restauration profonde du micrologiciel est préconisé.

Source

Vous pourriez aimer