2,3 millions de téléchargements, plus de 50 applications, zéro alerte. Pendant des mois, un malware baptisé NoVoice se cachait dans des jeux, des nettoyeurs et des galeries photo disponibles sur le Google Play Store. Il ne demandait aucune autorisation suspecte, fonctionnait exactement comme promis, et pendant ce temps, prenait le contrôle total du téléphone en arrière-plan.
Le rapport publié le 1er avril par les chercheurs de McAfee Labs décrit un niveau de sophistication rare pour une campagne passée par la boutique officielle de Google.
Un virus planqué dans une image
La technique d’entrée est redoutablement discrète. Le code malveillant est dissimulé à l’intérieur d’une image PNG, dans les données qui suivent le marqueur de fin de fichier. Un visualiseur classique affiche l’image normalement ; le virus se cache après la partie visible, invisible pour l’utilisateur comme pour les scanners automatiques.
Quand la victime ouvre l’application infectée, rien ne se passe en apparence. En coulisses, le code s’active via le processus d’initialisation du SDK Facebook intégré à l’application, extrait le payload chiffré de l’image, le déchiffre en mémoire, puis efface toute trace de l’opération. L’utilisateur ne voit rien. Pas de ralentissement, pas de notification, pas de demande d’autorisation inhabituelle.
22 failles exploitées, un téléphone sous contrôle total
Avant de frapper, NoVoice effectue 15 vérifications pour s’assurer qu’il ne tourne pas dans un émulateur, un environnement de test ou un VPN de chercheur. Il évite aussi certaines régions chinoises (Pékin, Shenzhen), ce qui laisse penser que les opérateurs y sont basés.
Ensuite, le malware contacte un serveur de commande qui profile le téléphone (modèle, version d’Android, correctifs installés, applications présentes) et envoie les exploits adaptés à cette configuration précise. McAfee en a recensé 22 : des failles du noyau Linux, des bugs de pilotes GPU Mali, tous corrigés entre 2016 et 2021. Sur les téléphones qui n’ont pas reçu ces correctifs, le résultat est immédiat : accès root, désactivation de SELinux, contrôle complet.
Le malware remplace alors des bibliothèques système critiques (libandroid_runtime.so, libmedia_jni.so) par des versions modifiées qui interceptent les appels système et redirigent l’exécution vers le code de l’attaquant. Chaque application ouverte par l’utilisateur exécute désormais du code contrôlé par les pirates, sans qu’aucun signe extérieur ne le trahisse.
Même un reset usine ne le supprime pas
C’est la caractéristique la plus inquiétante de NoVoice. Le rootkit s’installe sur la partition système du téléphone, celle qui n’est pas effacée lors d’une réinitialisation aux paramètres d’usine. Un processus de surveillance tourne toutes les 60 secondes pour vérifier l’intégrité du malware et réinstaller automatiquement les composants manquants. Si les vérifications échouent, il force un redémarrage du téléphone qui recharge le rootkit.
Selon McAfee, le seul moyen de nettoyer un appareil infecté est de reflasher le firmware, une opération technique hors de portée de la plupart des utilisateurs. Sur les téléphones anciens (Android 7 et antérieur), qui ne reçoivent plus de mises à jour de sécurité depuis septembre 2021, le malware est quasi permanent.
Votre WhatsApp cloné en quelques secondes
Parmi les modules récupérés par McAfee, un payload vise WhatsApp. Quand l’application de messagerie s’ouvre sur un téléphone infecté, NoVoice extrait les bases de données chiffrées, les clés du protocole Signal, le numéro de téléphone et les identifiants de sauvegarde Google Drive. Ces données sont envoyées aux serveurs des attaquants, qui peuvent alors cloner la session WhatsApp de la victime sur leur propre appareil.
Les chercheurs précisent que la structure modulaire de NoVoice permet de déployer n’importe quel autre payload à la volée. Le vol de sessions WhatsApp est le seul module qu’ils ont pu récupérer, mais rien n’empêche les opérateurs de cibler les applications bancaires, les messageries professionnelles ou les portefeuilles de cryptomonnaies.
L’Afrique et l’Asie du Sud en première ligne
La carte de prévalence publiée par McAfee montre que les infections se concentrent au Nigeria, en Éthiopie, en Algérie, en Inde et au Kenya. Ce n’est pas un hasard : ce sont des marchés où les téléphones d’entrée de gamme avec des versions anciennes d’Android, qui ne reçoivent plus de mises à jour de sécurité, sont les plus répandus.
Le profil est classique mais efficace. Des utilisateurs qui téléchargent des applications utilitaires gratuites, sur la boutique officielle de Google, sans raison de se méfier. Les applications fonctionnent, les permissions sont normales, les avis sont positifs.
Google a retiré les apps, le serveur tourne encore
Après le signalement de McAfee (membre de l’App Defense Alliance, un partenariat avec Google pour la sécurité du Play Store), les applications ont été supprimées et les comptes développeurs associés bannis. Mais un détail du rapport de McAfee inquiète : au moment de la publication, le serveur de commande et de contrôle (C2) des attaquants était toujours actif.
Autrement dit, les téléphones déjà infectés continuent de communiquer avec l’infrastructure des pirates. Pour les 2,3 millions d’utilisateurs qui ont téléchargé ces applications, supprimer l’app ne suffit pas : le rootkit est ancré dans le système.
NoVoice n’est pas le premier malware à contourner les protections du Play Store, mais son niveau de sophistication, de l’image piégée par stéganographie aux 22 exploits ciblés, en passant par la persistance post-reset, tranche avec les campagnes habituelles. Le rapport McAfee le rapproche du cheval de Troie Triada, un des malwares Android les plus avancés jamais documentés. Seule différence : Triada arrivait préinstallé sur des téléphones contrefaits. NoVoice, lui, passait par la porte d’entrée officielle.
