Le malware NoVoice a infecté 2,3 millions d'appareils Android via Google Play, exploitant des failles noyau pour rooter les smartphones et voler les sessions WhatsApp.
En bref
- Le malware NoVoice a infecté 2,3 millions d'appareils Android via plus de 50 applications sur le Google Play Store.
- Il exploite des vulnérabilités connues du noyau Android pour obtenir un accès root et cloner les sessions WhatsApp des victimes.
- Google a retiré les applications malveillantes après signalement par McAfee — une mise à jour immédiate est recommandée.
Ce qui s'est passé
Des chercheurs de McAfee, membre de l'App Defense Alliance, ont découvert un nouveau malware Android baptisé NoVoice, dissimulé dans plus de 50 applications disponibles sur le Google Play Store. Ces applications, qui se présentaient comme des utilitaires de nettoyage, des galeries photo ou des jeux, totalisaient au moins 2,3 millions de téléchargements. Elles ne demandaient aucune permission suspecte et fonctionnaient normalement en apparence.
La particularité de NoVoice réside dans sa capacité à obtenir un accès root sur les appareils infectés. Le malware exploite un arsenal de 22 vulnérabilités Android anciennes, corrigées entre 2016 et 2021, incluant des failles use-after-free dans le noyau et des bugs dans les pilotes GPU Mali. Une fois le root obtenu, NoVoice désactive SELinux et remplace des bibliothèques système critiques comme libandroid_runtime.so par des versions modifiées qui interceptent les appels système.
L'objectif principal est le vol de sessions WhatsApp. Lorsque la messagerie est lancée sur un appareil compromis, NoVoice extrait les bases de données chiffrées, les clés du protocole Signal, le numéro de téléphone et les identifiants de sauvegarde Google Drive. Ces données sont exfiltrées vers un serveur de commande et contrôle (C2), permettant aux attaquants de cloner la session WhatsApp de la victime sur leur propre appareil. Le malware interroge le C2 toutes les 60 secondes pour télécharger des composants d'exploitation spécifiques à chaque modèle de smartphone, selon BleepingComputer.
Pourquoi c'est important
Cette campagne illustre la persistance des risques liés aux malwares sur les stores officiels. Malgré les contrôles de Google Play Protect, des applications malveillantes continuent de passer entre les mailles du filet, surtout lorsqu'elles exploitent des vulnérabilités du noyau plutôt que des permissions Android classiques. Le ciblage spécifique de WhatsApp — utilisé par plus de deux milliards de personnes — maximise l'impact potentiel : vol de conversations privées, usurpation d'identité et compromission de contacts professionnels.
Le fait que NoVoice exploite des failles datant de plusieurs années souligne un problème structurel de l'écosystème Android : de nombreux appareils ne reçoivent plus de mises à jour de sécurité, laissant des millions d'utilisateurs exposés à des exploits pourtant connus et documentés.
Ce qu'il faut retenir
- Vérifiez et mettez à jour immédiatement vos appareils Android — les correctifs de sécurité mensuels corrigent les failles exploitées par NoVoice.
- Désinstallez toute application suspecte récemment installée et lancez un scan avec Google Play Protect ou un antivirus mobile réputé.
- Les entreprises doivent renforcer leurs politiques MDM pour imposer un niveau minimum de patch de sécurité sur les appareils accédant aux données professionnelles.
Comment savoir si mon appareil Android est infecté par NoVoice ?
Surveillez les signes d'activité anormale : consommation de batterie excessive, trafic réseau inhabituel ou comportement erratique de WhatsApp (déconnexions, messages marqués comme lus sans votre intervention). Lancez un scan complet avec Google Play Protect depuis les paramètres de sécurité de votre appareil et vérifiez que votre niveau de patch de sécurité Android est à jour dans Paramètres > Système > Mise à jour de sécurité.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
HPE AOS-CX : une faille CVSS 9.8 permet le reset des mots de passe admin
HPE publie un correctif pour CVE-2026-23813, une faille CVSS 9.8 dans AOS-CX permettant à un attaquant non authentifié de réinitialiser les mots de passe admin des switches Aruba.
766 serveurs Next.js compromis : vol massif de credentials via NEXUS Listener
Au moins 766 serveurs Next.js ont été compromis via React2Shell (CVE-2025-55182). Les attaquants utilisent le panneau C2 NEXUS Listener pour centraliser les credentials volés depuis les fichiers .env.
Cisco corrige deux failles critiques CVSS 9.8 dans IMC et SSM
Cisco publie des correctifs urgents pour deux failles CVSS 9.8 dans IMC et SSM On-Prem. CVE-2026-20093 permet la prise de contrôle admin sans authentification, CVE-2026-20160 offre une exécution root à distance.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire