Le rootkit Android NoVoice, caché dans plus de 50 apps du Play Store avec 2,3 millions de téléchargements, exploite 22 failles pour rooter les appareils et persister.
En bref
- Le malware NoVoice a été distribué via plus de 50 applications Android totalisant au moins 2,3 millions de téléchargements sur le Google Play Store.
- Ce rootkit exploite 22 vulnérabilités Android pour obtenir un accès root, désactiver SELinux et persister sur les appareils infectés.
- Les infections se concentrent principalement en Afrique (Nigeria, Éthiopie, Algérie) et en Inde.
Ce qui s'est passé
Des chercheurs en sécurité ont identifié un nouveau malware Android baptisé NoVoice, distribué via plus de 50 applications présentes sur le Google Play Store. Ces applications, téléchargées au moins 2,3 millions de fois, se faisaient passer pour des utilitaires courants, des galeries d'images et des jeux pour tromper la vigilance des utilisateurs. Une fois installé, le malware contacte un serveur de commande distant pour transmettre les informations de l'appareil et télécharger des exploits adaptés au modèle ciblé.
NoVoice se distingue par sa capacité à exploiter 22 vulnérabilités Android différentes pour obtenir un accès root sur les appareils infectés. Une fois les privilèges élevés obtenus, le rootkit désactive SELinux, le mécanisme de sécurité obligatoire d'Android, puis modifie les bibliothèques système pour exécuter du code malveillant à chaque ouverture de certaines applications légitimes. Ce mécanisme de persistance permet au malware de survivre aux redémarrages et rend sa suppression particulièrement difficile sans une réinitialisation complète de l'appareil.
Parmi les capacités identifiées : installation silencieuse d'applications tierces, interception de données sensibles et maintien d'un accès permanent même après la suppression de l'application vecteur initiale. Les pays les plus touchés sont le Nigeria, l'Éthiopie, l'Algérie, l'Inde et le Kenya, ce qui suggère un ciblage délibéré de régions où les appareils Android sont souvent moins récents et plus vulnérables aux exploits de privilèges.
Pourquoi c'est important
Cette campagne illustre les limites persistantes du processus de vérification du Google Play Store. Malgré les améliorations apportées par Google Play Protect, des applications malveillantes continuent de passer entre les mailles du filet, en particulier lorsqu'elles ciblent des marchés où la sensibilisation à la cybersécurité est plus faible. Le nombre de vulnérabilités exploitées (22) témoigne du niveau de sophistication de l'opération et de la fragmentation de l'écosystème Android, où de nombreux appareils ne reçoivent plus de correctifs de sécurité.
Pour les entreprises gérant des flottes d'appareils Android, notamment dans des contextes BYOD, ce type de rootkit représente un risque majeur : un appareil compromis connecté au réseau d'entreprise peut servir de point d'entrée pour une attaque plus large. La capacité de NoVoice à désactiver SELinux et modifier les bibliothèques système rend la détection par les solutions de sécurité mobiles classiques particulièrement complexe.
Ce qu'il faut retenir
- Vérifier les permissions demandées par les applications avant installation et privilégier les éditeurs connus et vérifiés sur le Play Store.
- Maintenir les appareils Android à jour et éviter les modèles ne recevant plus de correctifs de sécurité dans un contexte professionnel.
- Déployer une solution de Mobile Threat Defense (MTD) capable de détecter les tentatives d'élévation de privilèges et les modifications système anormales.
Comment vérifier si mon appareil Android est infecté par le rootkit NoVoice ?
Recherchez des signes comme une consommation anormale de batterie, des applications inconnues installées sans votre consentement, ou un comportement erratique de l'appareil. Utilisez Google Play Protect (Réglages, Sécurité, Google Play Protect, Analyser) pour lancer une analyse. En cas de doute, une réinitialisation aux paramètres d'usine reste la méthode la plus fiable pour éliminer un rootkit, car la simple désinstallation de l'application vecteur ne supprime pas les modifications système effectuées par NoVoice.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
React2Shell : 766 serveurs Next.js compromis, credentials volés
CVE-2025-55182 (CVSS 10.0) : 766 serveurs Next.js compromis via React2Shell. Vol automatisé de credentials cloud, clés API et secrets via le framework C2 NEXUS Listener.
Drift Protocol : hack à 285 M$ attribué à la Corée du Nord
Drift Protocol sur Solana perd 285 millions de dollars en 12 minutes. L'attaque par ingénierie sociale est attribuée au groupe nord-coréen UNC4736 après 6 mois de préparation.
Cisco IMC : faille critique CVSS 9.8 permet un accès admin
Cisco corrige CVE-2026-20093 (CVSS 9.8), une faille critique dans l'IMC permettant à un attaquant non authentifié de prendre le contrôle admin des serveurs UCS. Correctifs disponibles, PoC public.
Commentaires (1)
Laisser un commentaire