Le rootkit Android NoVoice, caché dans plus de 50 apps du Play Store avec 2,3 millions de téléchargements, exploite 22 failles pour rooter les appareils et persister.
En bref
- Le malware NoVoice a été distribué via plus de 50 applications Android totalisant au moins 2,3 millions de téléchargements sur le Google Play Store.
- Ce rootkit exploite 22 vulnérabilités Android pour obtenir un accès root, désactiver SELinux et persister sur les appareils infectés.
- Les infections se concentrent principalement en Afrique (Nigeria, Éthiopie, Algérie) et en Inde.
Ce qui s'est passé
Des chercheurs en sécurité ont identifié un nouveau malware Android baptisé NoVoice, distribué via plus de 50 applications présentes sur le Google Play Store. Ces applications, téléchargées au moins 2,3 millions de fois, se faisaient passer pour des utilitaires courants, des galeries d'images et des jeux pour tromper la vigilance des utilisateurs. Une fois installé, le malware contacte un serveur de commande distant pour transmettre les informations de l'appareil et télécharger des exploits adaptés au modèle ciblé.
NoVoice se distingue par sa capacité à exploiter 22 vulnérabilités Android différentes pour obtenir un accès root sur les appareils infectés. Une fois les privilèges élevés obtenus, le rootkit désactive SELinux, le mécanisme de sécurité obligatoire d'Android, puis modifie les bibliothèques système pour exécuter du code malveillant à chaque ouverture de certaines applications légitimes. Ce mécanisme de persistance permet au malware de survivre aux redémarrages et rend sa suppression particulièrement difficile sans une réinitialisation complète de l'appareil.
Parmi les capacités identifiées : installation silencieuse d'applications tierces, interception de données sensibles et maintien d'un accès permanent même après la suppression de l'application vecteur initiale. Les pays les plus touchés sont le Nigeria, l'Éthiopie, l'Algérie, l'Inde et le Kenya, ce qui suggère un ciblage délibéré de régions où les appareils Android sont souvent moins récents et plus vulnérables aux exploits de privilèges.
Pourquoi c'est important
Cette campagne illustre les limites persistantes du processus de vérification du Google Play Store. Malgré les améliorations apportées par Google Play Protect, des applications malveillantes continuent de passer entre les mailles du filet, en particulier lorsqu'elles ciblent des marchés où la sensibilisation à la cybersécurité est plus faible. Le nombre de vulnérabilités exploitées (22) témoigne du niveau de sophistication de l'opération et de la fragmentation de l'écosystème Android, où de nombreux appareils ne reçoivent plus de correctifs de sécurité.
Pour les entreprises gérant des flottes d'appareils Android, notamment dans des contextes BYOD, ce type de rootkit représente un risque majeur : un appareil compromis connecté au réseau d'entreprise peut servir de point d'entrée pour une attaque plus large. La capacité de NoVoice à désactiver SELinux et modifier les bibliothèques système rend la détection par les solutions de sécurité mobiles classiques particulièrement complexe.
Ce qu'il faut retenir
- Vérifier les permissions demandées par les applications avant installation et privilégier les éditeurs connus et vérifiés sur le Play Store.
- Maintenir les appareils Android à jour et éviter les modèles ne recevant plus de correctifs de sécurité dans un contexte professionnel.
- Déployer une solution de Mobile Threat Defense (MTD) capable de détecter les tentatives d'élévation de privilèges et les modifications système anormales.
Comment vérifier si mon appareil Android est infecté par le rootkit NoVoice ?
Recherchez des signes comme une consommation anormale de batterie, des applications inconnues installées sans votre consentement, ou un comportement erratique de l'appareil. Utilisez Google Play Protect (Réglages, Sécurité, Google Play Protect, Analyser) pour lancer une analyse. En cas de doute, une réinitialisation aux paramètres d'usine reste la méthode la plus fiable pour éliminer un rootkit, car la simple désinstallation de l'application vecteur ne supprime pas les modifications système effectuées par NoVoice.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire