Le malware NoVoice a infecté 2,3 millions d'appareils Android via Google Play, exploitant des failles noyau pour rooter les smartphones et voler les sessions WhatsApp.
La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de NoVoice : un malware Android sur Google Play vole , nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
En bref
- Le malware NoVoice a infecté 2,3 millions d'appareils Android via plus de 50 applications sur le Google Play Store.
- Il exploite des vulnérabilités connues du noyau Android pour obtenir un accès root et cloner les sessions WhatsApp des victimes.
- Google a retiré les applications malveillantes après signalement par McAfee — une mise à jour immédiate est recommandée.
Ce qui s'est passé
Des chercheurs de McAfee, membre de l'App Defense Alliance, ont découvert un nouveau malware Android baptisé NoVoice, dissimulé dans plus de 50 applications disponibles sur le Google Play Store. Ces applications, qui se présentaient comme des utilitaires de nettoyage, des galeries photo ou des jeux, totalisaient au moins 2,3 millions de téléchargements. Elles ne demandaient aucune permission suspecte et fonctionnaient normalement en apparence.
La particularité de NoVoice réside dans sa capacité à obtenir un accès root sur les appareils infectés. Le malware exploite un arsenal de 22 vulnérabilités Android anciennes, corrigées entre 2016 et 2021, incluant des failles use-after-free dans le noyau et des bugs dans les pilotes GPU Mali. Une fois le root obtenu, NoVoice désactive SELinux et remplace des bibliothèques système critiques comme libandroid_runtime.so par des versions modifiées qui interceptent les appels système.
L'objectif principal est le vol de sessions WhatsApp. Lorsque la messagerie est lancée sur un appareil compromis, NoVoice extrait les bases de données chiffrées, les clés du protocole Signal, le numéro de téléphone et les identifiants de sauvegarde Google Drive. Ces données sont exfiltrées vers un serveur de commande et contrôle (C2), permettant aux attaquants de cloner la session WhatsApp de la victime sur leur propre appareil. Le malware interroge le C2 toutes les 60 secondes pour télécharger des composants d'exploitation spécifiques à chaque modèle de smartphone, selon BleepingComputer.
Pourquoi c'est important
Cette campagne illustre la persistance des risques liés aux malwares sur les stores officiels. Malgré les contrôles de Google Play Protect, des applications malveillantes continuent de passer entre les mailles du filet, surtout lorsqu'elles exploitent des vulnérabilités du noyau plutôt que des permissions Android classiques. Le ciblage spécifique de WhatsApp — utilisé par plus de deux milliards de personnes — maximise l'impact potentiel : vol de conversations privées, usurpation d'identité et compromission de contacts professionnels.
Le fait que NoVoice exploite des failles datant de plusieurs années souligne un problème structurel de l'écosystème Android : de nombreux appareils ne reçoivent plus de mises à jour de sécurité, laissant des millions d'utilisateurs exposés à des exploits pourtant connus et documentés.
Ce qu'il faut retenir
- Vérifiez et mettez à jour immédiatement vos appareils Android — les correctifs de sécurité mensuels corrigent les failles exploitées par NoVoice.
- Désinstallez toute application suspecte récemment installée et lancez un scan avec Google Play Protect ou un antivirus mobile réputé.
- Les entreprises doivent renforcer leurs politiques MDM pour imposer un niveau minimum de patch de sécurité sur les appareils accédant aux données professionnelles.
Comment savoir si mon appareil Android est infecté par NoVoice ?
Surveillez les signes d'activité anormale : consommation de batterie excessive, trafic réseau inhabituel ou comportement erratique de WhatsApp (déconnexions, messages marqués comme lus sans votre intervention). Lancez un scan complet avec Google Play Protect depuis les paramètres de sécurité de votre appareil et vérifiez que votre niveau de patch de sécurité Android est à jour dans Paramètres > Système > Mise à jour de sécurité.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactArticle suivant recommandé
ShareFile : deux failles chaînées permettent une RCE sans authentification →Deux failles critiques dans Progress ShareFile permettent une exécution de code à distance sans authentification. 30 000
Points clés à retenir
- Contexte : NoVoice : un malware Android sur Google Play vole les sessio — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Articles connexes
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
- CERT
- ANSSI
À lire également
Lectures recommandées
- Opération Alice : 373 000 sites dark web démantelés
- Crimson Collective Exfiltre 12 To via F5 BIG-IP en 2026
- Qilin cible Malaysia Airlines : données passagers volées
- Infinity Stealer : un nouveau malware cible macOS via ClickFix
- PTC Windchill : la police allemande réveille les admins pour une faille CVSS 10
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire