https://cyberveille.ch/pays/nigeria-%C3%A9thiopie-alg%C3%A9rie-inde-kenya-mondial/ Recent content in Nigeria, Éthiopie, Algérie, Inde, Kenya (Mondial) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 31 Mar 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-03-31-operation-novoice-rootkit-android-distribue-via-google-play-23-millions-de-telechargements/ Tue, 31 Mar 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-03-31-operation-novoice-rootkit-android-distribue-via-google-play-23-millions-de-telechargements/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d&rsquo;une investigation approfondie sur une campagne de <strong>rootkit Android</strong> baptisée <strong>Operation NoVoice</strong>, distribuée via le Google Play Store officiel.</p> <h2 id="-vecteur-dinfection-et-distribution">🎯 Vecteur d&rsquo;infection et distribution</h2> <ul> <li><strong>Plus de 50 applications malveillantes</strong> publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant <strong>au moins 2,3 millions de téléchargements</strong>.</li> <li>Aucun sideloading requis, aucune permission inhabituelle demandée.</li> <li>Les composants malveillants sont enregistrés sous <code>com.facebook.utils</code>, se fondant dans le SDK Facebook légitime.</li> <li>Le payload initial est dissimulé dans une <strong>image polyglotte</strong> (payload chiffré après le marqueur IEND du PNG).</li> </ul> <h2 id="-chaîne-dinfection-en-8-étapes">⚙️ Chaîne d&rsquo;infection en 8 étapes</h2> <ol> <li><strong>Stage 1 – Delivery</strong> : Extraction et déchiffrement du payload <code>enc.apk</code> → <code>h.apk</code> depuis les assets de l&rsquo;app.</li> <li><strong>Stage 2 – Gatekeeper</strong> : Chargement de <code>libkwc.so</code> qui vérifie l&rsquo;environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN).</li> <li><strong>Stage 3 – Plugin</strong> : Framework plugin &ldquo;kuwo&rdquo; avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (<code>warningIcon</code>).</li> <li><strong>Stage 4 – Exploit</strong> : <code>security.jar</code> envoie les identifiants matériels au C2 qui retourne des exploits ciblés. <strong>22 exploits</strong> récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux.</li> <li><strong>Stage 5 – Rootkit</strong> : <code>CsKaitno.d</code> remplace <code>libandroid_runtime.so</code> et <code>libmedia_jni.so</code> par des wrappers malveillants (ARM32/ARM64). <code>jkpatch</code> modifie le bytecode framework compilé sur disque.</li> <li><strong>Stage 6 – Watchdog</strong> : Daemon <code>watch_dog</code> vérifie l&rsquo;installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la <strong>réinitialisation d&rsquo;usine</strong> (Android 7 et inférieur).</li> <li><strong>Stage 7 – Injection</strong> : À chaque démarrage, toutes les apps héritent du code attaquant. <code>BufferA</code> (installeur silencieux) et <code>BufferB</code> (outil post-exploitation principal, deux canaux C2 indépendants).</li> <li><strong>Stage 8 – Theft</strong> : Payload <code>PtfLibc</code> (hébergé sur Alibaba Cloud OSS) cible <strong>WhatsApp</strong> : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session.</li> </ol> <h2 id="-géographie-et-cibles">🌍 Géographie et cibles</h2> <p>Les taux d&rsquo;infection les plus élevés sont observés au <strong>Nigeria, Éthiopie, Algérie, Inde et Kenya</strong>, régions où les appareils anciens sous Android 7 ou inférieur sont répandus.</p>