Operation NoVoice : rootkit Android distribué via Google Play, 2,3 millions de téléchargements
🔍 Contexte Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d’une investigation approfondie sur une campagne de rootkit Android baptisée Operation NoVoice, distribuée via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant au moins 2,3 millions de téléchargements. Aucun sideloading requis, aucune permission inhabituelle demandée. Les composants malveillants sont enregistrés sous com.facebook.utils, se fondant dans le SDK Facebook légitime. Le payload initial est dissimulé dans une image polyglotte (payload chiffré après le marqueur IEND du PNG). ⚙️ Chaîne d’infection en 8 étapes Stage 1 – Delivery : Extraction et déchiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vérifie l’environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matériels au C2 qui retourne des exploits ciblés. 22 exploits récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilé sur disque. Stage 6 – Watchdog : Daemon watch_dog vérifie l’installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la réinitialisation d’usine (Android 7 et inférieur). Stage 7 – Injection : À chaque démarrage, toutes les apps héritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indépendants). Stage 8 – Theft : Payload PtfLibc (hébergé sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session. 🌍 Géographie et cibles Les taux d’infection les plus élevés sont observés au Nigeria, Éthiopie, Algérie, Inde et Kenya, régions où les appareils anciens sous Android 7 ou inférieur sont répandus. ...