Un malware Android infiltré sur Google Play infecte 2,3 millions de téléphones
Détecté sur Google Play, un nouveau malware baptisé NoVoice a été dissimulé dans plus de 50 applications, cumulant au total plus de 2,3 millions d’installations.
Ces applications malveillantes se présentent sous forme de nettoyeurs, de galeries d’images ou de jeux. Elles ne demandaient aucun permission suspecte et offraient leurs fonctionnalités initiales sans problème apparent.
Une fois lancée, l’application infectée tente d’acquérir un accès root sur le téléphone en exploitant des vulnérabilités Android anciennes, corrigées entre 2016 et 2021.
Le mécanisme d’infection de NoVoice
La société de cybersécurité McAfee a dévoilé l’opération NoVoice sans pouvoir désigner un groupe de pirates spécifique. Elle souligne néanmoins des points de convergence avec le troyen Android Triada.
Les composants malveillants étaient cachés dans le package com.facebook.utils, mêlés aux classes légitimes du SDK de Facebook.
Un payload chiffré, dissimulé dans un fichier image PNG grâce à une technique de steganographie, est extrait puis chargé dans la mémoire système, après l’effacement des fichiers intermédiaires pour éviter les traces.
Ce malware évite de contaminer des appareils dans certaines régions comme Beijing et Shenzhen en Chine. Il implante également 15 vérifications pour détecter émulateurs, débogueurs ou VPNs. Si la permission de localisation est absente, le processus d’infection poursuit.
Il contacte ensuite un serveur C2 (command-and-control) et collecte des informations sur l’appareil : spécifications matérielles, version du kernel, version Android, applications installées et statut root afin d’établir une stratégie d’exploitation.
Le malware interroge ensuite le C2 toutes les 60 secondes pour télécharger divers composants exploitant des spécificités de l’appareil, dans le but d’obtenir un accès root.
McAfee a observé 22 exploits, parmi lesquels des bugs kernel de type use-after-free et des failles dans le pilote GPU Mali. Ces exploits offrent aux opérateurs un shell root et permettent de désactiver l’application de SELinux sur le téléphone, neutralisant ses protections de sécurité fondamentales.
Après avoir rooté l’appareil, des bibliothèques système clés sont remplacées par des wrappers hookés qui interceptent les calls système et redirigent leur exécution vers du code d’attaque.
Le rootkit installe plusieurs mécanismes de persistence : des scripts de recovery, un gestionnaire de crash système remplacé par un chargeur rootkit, et des payloads de repli stockés sur la partition système.
Cette partie du stockage du téléphone ne est pas nettoyée lors d’une réinitialisation complète. Le malware persistera donc même après une telle opération.
Un daemon watchdog s’exécute toutes les 60 secondes pour vérifier l’intégrité du rootkit et réinstaller automatiquement les composants manquants. Si les vérifications échouent, il force le téléphone à redémarrer, permettant au rootkit de se recharger.
WhatsApp comme cible principale
Après exploitation, du code contrôlé par les pirates est injecté dans chaque application lancée sur le téléphone. Deux modules principaux sont déployés : un qui permet d’installer ou supprimer des applications en silence, et un autre qui opère dans toute application ayant un accès internet.
Ce dernier sert comme mécanisme principal de vol de données. Les chercheurs de McAfee ont observé qu’il était principalement dirigé contre l’application de messagerie WhatsApp.
Quand WhatsApp est lancé sur un appareil infecté, le malware extrait les données sensibles nécessaires à la réplication de la session victime : bases de données de chiffrement, clés du protocole Signal, identifiants du compte comme le numéro de téléphone et les informations de sauvegarde Google Drive.
Cette information est exfiltrée vers le C2, permettant aux attaquants de cloner la session WhatsApp de la victime sur leur propre appareil.
Les chercheurs ont précisé qu’ils ont récupéré uniquement un payload centré sur WhatsApp, mais la conception modulaire de NoVoice rend techniquement possible l’utilisation d’autres payloads visant toute application du téléphone.
Suite au signalement de McAfee, membre de l’App Defense Alliance, les applications Android malveillantes transportant NoVoice ont été retirées de Google Play.
Toutefois, les utilisateurs qui ont précédemment installé ces apps doivent considérer leurs appareils et données compromis.
NoVoice exploite des vulnérabilités corrigées jusqu’en mai 2021. Passer à un appareil avec un patch de sécurité plus récent protège efficacement contre cette menace actuelle.
Les utilisateurs Android sont conseillés de migrer vers des modèles encore supportés et d’installer uniquement des applications émanant de développeurs connus et fiables, même sur Google Play.