Une flopée d'applications Android diffusées sur le Google Play Store ont servi à propager NoVoice, un malware capable de prendre le contrôle de certains smartphones, de survivre à une réinitialisation d’usine et de viser notamment WhatsApp.
Voilà pourquoi il faut installer ses mises à jour de sécurité en temps et en heure. McAfee vient de lever le voile sur NoVoice, une campagne malveillante diffusée via plus de 50 applications Android téléchargées au moins 2,3 millions de fois sur Google Play Store, parmi lesquelles des nettoyeurs, des galeries photo, des jeux et d’autres utilitaires du même acabit. Ces applis ne réclamaient pas d’autorisations excessives et remplissaient correctement leur fonction, mais servaient en réalité de chevaux de Troie à un rootkit capable d’exploiter de vieilles failles Android sur des smartphones non patchés pour en prendre le contrôle et dérober des données liées à WhatsApp.
Un malware capable de rooter les smartphones non patchés
D’après les analyses de McAfee, une fois infiltré, NoVoice commençait par dresser le profil du smartphone en récupérant plusieurs informations relatives à la version d’Android, au niveau de correctif de sécurité appliqué, au noyau, au modèle du téléphone ou encore aux applications installées. Ces données étaient ensuite envoyées à l’infrastructure de commande, qui déterminait si le terminal pouvait encore être compromis via l’exploitation d’une vulnérabilité ancienne et, le cas échéant, lui transmettait l’exploit le plus adapté à sa configuration.
McAfee a confirmé en avoir récupéré 22 au total. Tous poursuivaient le même objectif, à savoir obtenir les droits root, désactiver les protections natives d’Android, puis modifier certains composants du système afin d’injecter du code malveillant dans les applications ouvertes sur le téléphone. L’infection ne se limitait donc plus à l’appli d’origine et gagnait progressivement l’ensemble du système.
Sur les appareils les plus anciens, le malware pouvait aller plus loin encore en inscrivant une partie du rootkit dans la partition système, ce qui lui permettait de survivre à une réinitialisation d’usine. Dans ce cas, supprimer l’appli piégée ou restaurer le téléphone ne suffisait plus à assainir l’appareil, sauf à flasher le système et à réinstaller complètement le firmware.
Selon McAfee, le module récupéré pendant l’analyse ciblait essentiellement WhatsApp. Il cherchait à extraire plusieurs éléments sensibles, dont des bases de données chiffrées, des clés liées au protocole Signal, le numéro de téléphone et diverses informations locales associées au compte, bref, tout ce qui aurait pu permettre aux attaquants de cloner la session de la victime sur un autre appareil.
Les smartphones les plus anciens paient le prix fort
Le rapport précise que les exploits récupérés pendant l’analyse reposaient sur des vulnérabilités corrigées entre 2016 et 2021. Les appareils dont le niveau de correctif de sécurité est égal ou supérieur au 1er mai 2021 ne seraient donc pas vulnérables aux chaînes d’exploitation observées par McAfee, même si l’éditeur reste prudent sur l’éventuelle existence d’autres charges ayant échappé à l’enquête.
Alertée en amont de la publication de l’analyse, Google a depuis supprimé du Play Store les applications incriminées et suspendu les comptes développeurs associés. McAfee a de son côté détaillé, dans ses indicateurs de compromission, la liste des applis concernées.
Par conséquent, et à plus forte raison si vous n’avez pas mis à jour votre smartphone depuis mai 2021, vérifiez le plus rapidement possible si vous avez-vous-même téléchargé l’une de ces applis malveillantes. Si tel est le cas, il vous faudra soit flasher votre appareil pour réinstaller un firmware sain et vous débarrasser de l’infection, sois songer à investir dans un téléphone encore pris en charge. N’oubliez pas non plus de sécuriser votre compte WhatsApp en vérifiant les appareils connectés, les paramètres de sécurité et toute activité inhabituelle.
