Le rootkit Android NoVoice, caché dans plus de 50 apps du Play Store avec 2,3 millions de téléchargements, exploite 22 failles pour rooter les appareils et persister.
En bref
- Le malware NoVoice a été distribué via plus de 50 applications Android totalisant au moins 2,3 millions de téléchargements sur le Google Play Store.
- Ce rootkit exploite 22 vulnérabilités Android pour obtenir un accès root, désactiver SELinux et persister sur les appareils infectés.
- Les infections se concentrent principalement en Afrique (Nigeria, Éthiopie, Algérie) et en Inde.
Ce qui s'est passé
Des chercheurs en sécurité ont identifié un nouveau malware Android baptisé NoVoice, distribué via plus de 50 applications présentes sur le Google Play Store. Ces applications, téléchargées au moins 2,3 millions de fois, se faisaient passer pour des utilitaires courants, des galeries d'images et des jeux pour tromper la vigilance des utilisateurs. Une fois installé, le malware contacte un serveur de commande distant pour transmettre les informations de l'appareil et télécharger des exploits adaptés au modèle ciblé.
NoVoice se distingue par sa capacité à exploiter 22 vulnérabilités Android différentes pour obtenir un accès root sur les appareils infectés. Une fois les privilèges élevés obtenus, le rootkit désactive SELinux, le mécanisme de sécurité obligatoire d'Android, puis modifie les bibliothèques système pour exécuter du code malveillant à chaque ouverture de certaines applications légitimes. Ce mécanisme de persistance permet au malware de survivre aux redémarrages et rend sa suppression particulièrement difficile sans une réinitialisation complète de l'appareil.
Parmi les capacités identifiées : installation silencieuse d'applications tierces, interception de données sensibles et maintien d'un accès permanent même après la suppression de l'application vecteur initiale. Les pays les plus touchés sont le Nigeria, l'Éthiopie, l'Algérie, l'Inde et le Kenya, ce qui suggère un ciblage délibéré de régions où les appareils Android sont souvent moins récents et plus vulnérables aux exploits de privilèges.
Pourquoi c'est important
Cette campagne illustre les limites persistantes du processus de vérification du Google Play Store. Malgré les améliorations apportées par Google Play Protect, des applications malveillantes continuent de passer entre les mailles du filet, en particulier lorsqu'elles ciblent des marchés où la sensibilisation à la cybersécurité est plus faible. Le nombre de vulnérabilités exploitées (22) témoigne du niveau de sophistication de l'opération et de la fragmentation de l'écosystème Android, où de nombreux appareils ne reçoivent plus de correctifs de sécurité.
Pour les entreprises gérant des flottes d'appareils Android, notamment dans des contextes BYOD, ce type de rootkit représente un risque majeur : un appareil compromis connecté au réseau d'entreprise peut servir de point d'entrée pour une attaque plus large. La capacité de NoVoice à désactiver SELinux et modifier les bibliothèques système rend la détection par les solutions de sécurité mobiles classiques particulièrement complexe.
Ce qu'il faut retenir
- Vérifier les permissions demandées par les applications avant installation et privilégier les éditeurs connus et vérifiés sur le Play Store.
- Maintenir les appareils Android à jour et éviter les modèles ne recevant plus de correctifs de sécurité dans un contexte professionnel.
- Déployer une solution de Mobile Threat Defense (MTD) capable de détecter les tentatives d'élévation de privilèges et les modifications système anormales.
Comment vérifier si mon appareil Android est infecté par le rootkit NoVoice ?
Recherchez des signes comme une consommation anormale de batterie, des applications inconnues installées sans votre consentement, ou un comportement erratique de l'appareil. Utilisez Google Play Protect (Réglages, Sécurité, Google Play Protect, Analyser) pour lancer une analyse. En cas de doute, une réinitialisation aux paramètres d'usine reste la méthode la plus fiable pour éliminer un rootkit, car la simple désinstallation de l'application vecteur ne supprime pas les modifications système effectuées par NoVoice.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-20184 : faille critique SSO Cisco Webex corrigée
CVE-2026-20184 (CVSS 9.8) : faille critique SSO Cisco Webex permettant d'usurper n'importe quel utilisateur. Action requise pour les clients en SSO.
PHANTOMPULSE : Obsidian détourné contre finance et crypto
Elastic Security Labs dévoile la campagne REF6598 qui détourne Obsidian pour déployer le RAT PHANTOMPULSE chez les professionnels finance et crypto.
Claude Opus 4.7 : Anthropic officialise son modèle phare
Anthropic officialise Claude Opus 4.7 ce 16 avril 2026. Résolution visuelle triplée, mode xhigh et task budgets agentiques : ce que la mise à jour change.
Commentaires (1)
Laisser un commentaire