Avertissement : Des millions d’appareils Android ont installé 50 applications contenant des logiciels malveillants.
Une campagne de logiciels malveillants sophistiquée a été découverte sur Google Play, avec environ 50 applications Android contenant du code malveillant infiltrant silencieusement des millions d'appareils Android dans le monde entier.
Selon les chercheurs de la société de sécurité McAfee, environ 50 applications Android contenant un logiciel malveillant appelé NoVoice sont apparues directement sur le Google Play Store et ont été téléchargées plus de 2,3 millions de fois.
Le plus inquiétant est que ces applications n'avaient pas besoin de recourir à des techniques sophistiquées pour contourner les systèmes de sécurité ; elles étaient diffusées comme des logiciels ordinaires, principalement des jeux, des applications de nettoyage ou des galeries photo. Après avoir été signalées, Google a procédé à la suppression de toutes les applications concernées.
Un mécanisme d'attaque furtif ciblant les appareils Android obsolètes.
Contrairement à de nombreux logiciels malveillants Android qui se propagent via des fichiers d'installation externes, NoVoice agit directement au sein des applications téléchargées depuis le Play Store. Selon BleepingComputer, lorsque l'utilisateur ouvre l'application, le logiciel malveillant s'active et exploite des vulnérabilités présentes dans les anciennes versions d'Android (de 2016 à 2021).
Dans le même temps, ce logiciel malveillant tente également de prendre le contrôle de l'appareil et de se dissimuler au sein de composants système légitimes.
Le logiciel malveillant extrait ensuite des segments de code chiffrés et les charge directement en mémoire pour exécuter une technique permettant d'échapper à la détection par les logiciels de sécurité traditionnels.
Collectez des données et contrôlez des appareils à distance.
Une fois opérationnel, NoVoice collecte une multitude d'informations sur l'appareil, telles que la version d'Android, les spécifications matérielles et la liste des applications.
Ces données sont envoyées au serveur de commande et de contrôle, permettant à l'attaquant de continuer à envoyer des commandes ou des logiciels malveillants supplémentaires toutes les 60 secondes.
Les chercheurs affirment que le logiciel malveillant peut exploiter jusqu'à 22 vulnérabilités différentes, y compris des failles critiques du système d'exploitation, pour prendre le contrôle total du système.
Une fois le contrôle de l'appareil réussi, le logiciel malveillant procédera au remplacement des composants du système Android, à l'installation de code dans le système pour assurer son fonctionnement à long terme et à l'écriture de données sur la partition système.
Cela rend quasiment impossible le nettoyage d'un appareil infecté en le restaurant à ses paramètres d'usine, créant ainsi une « porte dérobée » dangereuse.
À son niveau le plus élevé, NoVoice peut installer et désinstaller automatiquement des applications, redémarrer les appareils pour assurer leur fonctionnement et voler des données à partir d'applications sensibles.
Ce logiciel malveillant est notamment capable d'accéder aux données de WhatsApp et de copier ainsi les sessions de connexion sur l'appareil de l'attaquant. Le risque pour les applications financières est également préoccupant.
D'après Google, les appareils Android mis à jour à partir de mai 2021 sont largement immunisés contre cette attaque. À l'inverse, les appareils plus anciens, non mis à jour, ainsi que les téléphones compromis ou dont le système a été altéré, présentent le risque le plus élevé.
Signes indiquant que votre appareil est infecté par un logiciel malveillant.
Les utilisateurs doivent être vigilants si leur appareil présente des symptômes tels qu'une consommation anormale de la batterie, des redémarrages spontanés et la disparition ou la réinstallation automatique d'applications.
Si vous constatez ces symptômes, vous devez immédiatement vous déconnecter du réseau et faire vérifier votre appareil.
Pour minimiser les risques, les experts en sécurité recommandent aux utilisateurs d'Android de toujours mettre à jour leur système d'exploitation vers la dernière version, de n'installer que des applications provenant de développeurs réputés et de limiter l'utilisation d'appareils obsolètes.
L'incident NoVoice démontre que même les plateformes grand public comme Google Play ne sont pas totalement à l'abri des attaques sophistiquées. Face à la sophistication croissante des logiciels malveillants, la sensibilisation des utilisateurs à la sécurité demeure la meilleure protection.