Un nouveau malware Android nommé **NoVoice** a été trouvé sur **Google Play**, caché dans plus de 50 applications qui ont été téléchargées au moins 2,3 millions de fois. Les applications transportant le payload malveillant comprenaient des nettoyeurs, des galeries d'images et des jeux. Elles ne demandaient aucune permission suspecte et fournissaient la fonctionnalité promise. Après le lancement d'une application infectée, le malware tentait d'obtenir un accès root sur l'appareil en exploitant d'anciennes vulnérabilités Android qui ont reçu des correctifs entre 2016 et 2021. Les chercheurs de la société de cybersécurité **McAfee** ont découvert l'opération NoVoice mais n'ont pas pu la relier à un acteur de menace spécifique. Cependant, ils ont souligné que le malware partageait des similitudes avec le trojan Android **Triada**.  ### Chaîne d'infection de NoVoice Selon les chercheurs de **McAfee**, l'acteur de menace a dissimulé des composants malveillants dans le package *com.facebook.utils*, les mélangeant avec les classes légitimes du SDK **Facebook**. Un payload chiffré (enc.apk) caché à l'intérieur d'un fichier image PNG à l'aide de la stéganographie est extrait (*h.apk*) et chargé en mémoire système tout en effaçant tous les fichiers intermédiaires pour éliminer les traces. **McAfee** note que l'acteur de menace évite d'infecter les appareils dans certaines régions, comme Pékin et Shenzhen en Chine, et a implémenté 15 vérifications pour les émulateurs, les débogueurs et les VPN. Si les permissions de localisation ne sont pas disponibles, le malware continue la chaîne d'infection.  Le malware contacte ensuite le serveur de commande et de contrôle (C2) et collecte des informations sur l'appareil telles que les détails matériels, la version du noyau, la version d'Android (et le niveau de correctif), les applications installées et le statut root, afin de déterminer la stratégie d'exploit. Ensuite, le malware interroge le C2 toutes les 60 secondes et télécharge divers composants pour des exploits spécifiques à l'appareil conçus pour rooter le système de la victime. Les chercheurs ont créé une carte de la chaîne d'infection, de l'étape de livraison à la phase d'injection.  **McAfee** indique avoir observé 22 exploits, y compris des bugs de noyau use-after-free et des failles dans les pilotes GPU Mali. Ces exploits donnent aux opérateurs un shell root et leur permettent de désactiver l'application de SELinux sur l'appareil, sapant ainsi ses protections de sécurité fondamentales. Après avoir rooté l'appareil, des bibliothèques système clés telles que *libandroid_runtime.so* et *libmedia_jni.so* sont remplacées par des wrappers crochetés qui interceptent les appels système et redirigent l'exécution vers le code d'attaque. Le rootkit établit plusieurs couches de persistance, notamment en installant des scripts de récupération, en remplaçant le gestionnaire de crash système par un chargeur de rootkit et en stockant des payloads de secours sur la partition système. Comme cette partie du stockage de l'appareil n'est pas effacée lors d'une réinitialisation d'usine, le malware persistera même après un nettoyage agressif. Un démon de surveillance s'exécute toutes les 60 secondes pour vérifier l'intégrité du rootkit et réinstalle automatiquement les composants manquants. Si les vérifications échouent, il force le redémarrage de l'appareil, provoquant le rechargement du rootkit. ### Vol de données WhatsApp Au cours de la phase post-exploitation, du code contrôlé par l'attaquant est injecté dans chaque application lancée sur l'appareil. Deux composants principaux sont déployés : l'un qui permet l'installation ou la suppression silencieuse d'applications, et l'autre qui fonctionne au sein de toute application ayant accès à Internet. Ce dernier sert de mécanisme principal de vol de données, et **McAfee** a observé qu'il ciblait principalement l'application de messagerie **WhatsApp**. Lorsque **WhatsApp** est lancé sur un appareil infecté, le malware extrait des données sensibles nécessaires pour répliquer la session de la victime, y compris les bases de données de chiffrement, les clés du protocole Signal et les identifiants de compte tels que le numéro de téléphone et les détails de sauvegarde **Google Drive**. Ces informations sont ensuite exfiltrées vers le C2, permettant aux attaquants de cloner la session WhatsApp de la victime sur leur propre appareil.  Les chercheurs ont noté que bien qu'ils n'aient récupéré qu'un payload axé sur **WhatsApp**, la conception modulaire de **NoVoice** rend techniquement possible l'utilisation d'autres payloads ciblant n'importe quelle application sur l'appareil. Les applications Android malveillantes transportant des payloads **NoVoice** ont été retirées de **Google Play** après que **McAfee**, membre de l'App Defense Alliance, les ait signalées à **Google**. Cependant, les utilisateurs qui les ont précédemment installées doivent considérer leurs appareils et leurs données comme compromis. Comme **NoVoice** cible des failles corrigées jusqu'en mai 2021, la mise à niveau vers un appareil exécutant un correctif de sécurité plus récent atténue efficacement cette menace sous sa forme actuelle. Il est recommandé aux utilisateurs Android de passer à des modèles activement pris en charge et de n'installer que des applications provenant d'éditeurs de confiance et bien connus, même sur **Google Play**.