On nous a toujours dit que tant que nous nous en tenons au Google Play Store et évitons le chargement latéral, nos téléphones Android sont en sécurité. Cependant, une nouvelle campagne sophistiquée de logiciels malveillants vient de briser ce sentiment de sécurité.

Comme le rapporte BleepingComputer, des chercheurs de la société de cybersécurité McAfee ont découvert 50 applications malveillantes cachées à la vue de tous sur la boutique officielle de Google, accumulant 2,3 millions de téléchargements tout en infectant discrètement les appareils avec une nouvelle souche dangereuse de malware Android.

Tout comme lors des précédentes campagnes de malware, ces mauvaises applications se faisaient passer pour des nettoyeurs de système, des jeux mobiles et d'autres utilitaires. Une fois ouvertes, les applications en question ont fonctionné comme prévu et pour éviter tout soupçon, elles n'ont pas demandé l'accès à des autorisations inutiles, ce qui est généralement un signal d'alarme majeur indiquant qu'une application est malveillante.

L'article continue ci-dessous

Même si les utilisateurs d'Android qui ont installé et utilisé ces applications n'ont pas eu l'impression que quelque chose n'allait pas, en arrière-plan, cela ne pourrait pas être plus éloigné de la vérité. Vous voyez, après avoir contacté un serveur contrôlé par des pirates informatiques, les applications ont profilé les appareils sur lesquels elles étaient installées pour rechercher des faiblesses exploitables. S'il en trouve, le nouveau malware Android NoVoice prend alors le contrôle complet et total d'un appareil infecté, le transformant essentiellement en un jouet de pirate informatique.

Voici tout ce que vous devez savoir sur ce nouveau malware et pourquoi il s'agit de l'une des souches les plus dangereuses que j'ai jamais vues, ainsi que quelques trucs et astuces pour vous protéger, vous et votre smartphone Android, des pirates informatiques.

Une infection résistante à la réinitialisation d'usine

Malware Android sur téléphone

Avec la plupart des logiciels malveillants, effectuer une réinitialisation d’usine sur l’un des meilleurs téléphones Android devrait faire l’affaire. Cependant, avec NoVoice, cela ne fonctionnera pas car le malware s'enfouit dans la seule zone qu'un effacement du système ne peut pas toucher.

Pour ce faire, NoVoice établit un accès root en exploitant d'anciennes vulnérabilités qui ont depuis été corrigées. Étant donné que de nombreuses personnes ne mettent pas à jour leur téléphone aussi souvent qu'elles le devraient – ​​ou possèdent des appareils plus anciens qui ne reçoivent plus de mises à jour de sécurité – le malware est capable d'utiliser cela à son avantage.

Après avoir été installé via l'une de ces 50 applications malveillantes, le logiciel malveillant collecte une grande variété d'informations sur l'appareil, telles que des détails sur le matériel, la version Android actuelle du téléphone et le niveau de correctif, une liste des applications installées et l'état racine. Avec ces informations en main, NoVoice contacte ensuite un serveur de commande et de contrôle (C2) exploité par les pirates. Il le fait toutes les 60 secondes ; En plus de partager des informations sur un appareil infecté, le malware télécharge également des exploits spécifiques à l'appareil utilisés pour saisir l'accès root.

Selon un article de blog de McAfee, ses chercheurs en sécurité ont observé 22 exploits différents utilisés par NoVoice. En exploitant les vulnérabilités connues, le malware est capable de contourner les protections de sécurité intégrées d'Android et d'établir plusieurs couches de persistance. NoVoice réécrit même les bibliothèques système principales d'un appareil infecté pour garantir que même si une victime effectue un effacement complet en réinitialisant son téléphone aux paramètres d'usine, le logiciel malveillant reste installé.

Les créateurs de NoVoice ont déployé de grands efforts pour garder le contrôle des téléphones Android infectés. Par exemple, un démon de surveillance vérifie l'intégrité du rootkit toutes les 60 secondes. Si une partie du malware a été supprimée, les composants manquants sont automatiquement réinstallés. Si le logiciel malveillant ne parvient pas à se réparer, il force le périphérique infecté à redémarrer, ce qui déclenche une nouvelle infection à partir de zéro.

Jusqu'à présent, ce nouveau malware a été principalement utilisé pour cibler les utilisateurs d'Android en Afrique, mais il a également été déployé contre des utilisateurs en Inde, aux États-Unis et en Europe. McAfee explique que cela s'explique principalement par le fait que les appareils économiques exécutant d'anciennes versions d'Android sont plus courants dans ces régions. Cependant, tout utilisateur d’Android exécutant un correctif de sécurité obsolète est carrément dans sa ligne de mire.

Les pirates derrière NoVoice ont principalement utilisé le malware pour cibler WhatsApp. Lorsque l'application de messagerie est lancée sur un appareil infecté, NoVoice extrait les données sensibles pour cloner la session WhatsApp d'une victime. Cela permet aux pirates de détourner efficacement l'identité numérique d'une victime et d'envoyer des messages à ses contacts en temps réel.

Compte tenu de la nature modulaire de NoVoice, le malware pourrait facilement être reconfiguré pour cibler les applications bancaires ou toute autre application exécutée sur un appareil infecté.

Comment se protéger du malware NoVoice

Une main tenant un téléphone se connectant en toute sécurité

Heureusement, les 50 applications malveillantes utilisées pour diffuser NoVoice ont été supprimées du Google Play Store. Cependant, si l’un d’entre eux est déjà présent sur votre téléphone, vous devrez le désinstaller manuellement. Bien que cela soit normalement suffisant pour assurer votre sécurité, les multiples niveaux de persistance utilisés par ce malware signifient que la simple suppression d'une de ces mauvaises applications n'est pas une solution garantie.

Pour voir si votre téléphone Android est à risque, vous devez immédiatement vérifier le niveau de votre correctif de sécurité. On peut le trouver en allant sur Paramètres > À propos du téléphone > Informations sur le logiciel. Si le correctif de sécurité de votre appareil est daté d'avant le 1er mai 2021, il est vulnérable aux exploits exacts utilisés par NoVoice pour obtenir un accès root.

Étant donné qu'une réinitialisation d'usine standard ne supprimera pas cette infection, votre seule option technique consiste à « reflasher » votre téléphone avec son micrologiciel d'usine officiel. Ce processus remplace complètement les fichiers système corrompus par une copie vierge, mais il efface également toutes vos données et peut être difficile pour les utilisateurs moins expérimentés. Si votre téléphone actuel ne reçoit plus les mises à jour et les correctifs de sécurité Android, la solution la plus sûre est probablement de recommencer avec un tout nouvel appareil Android.

À l’avenir, vous devez être extrêmement sélectif quant aux applications que vous installez. Restez fidèle aux développeurs de confiance, vérifiez les notes et lisez toujours les critiques avant de lancer le téléchargement. En plus de garder Google Play Protect activé, vous souhaiterez peut-être également exécuter l'une des meilleures applications antivirus Android pour une couche de défense supplémentaire.

NoVoice marque un changement important dans le paysage des logiciels malveillants Android, et nous pourrions voir d'autres attaquants imiter sa conception « résistante à la réinitialisation » à l'avenir. En attendant, la meilleure défense consiste à maintenir votre appareil à jour. Si votre téléphone est trop ancien pour recevoir des correctifs de sécurité critiques, il est peut-être enfin temps de procéder à une mise à niveau.

Google Actualités