La campagne de logiciels malveillants NoVoice cible les utilisateurs Android via Google Play
Des chercheurs en sécurité ont découvert une campagne sophistiquée de logiciels malveillants Android le 1er avril 2026, impliquant une nouvelle menace appelée NoVoice qui a réussi à infiltrer le marché officiel des applications de Google. Le logiciel malveillant a réussi à échapper aux mécanismes de détection de Google Play Protect et s'est intégré dans plus de 50 applications apparemment légitimes dans diverses catégories, y compris les outils de productivité, les applications de divertissement et les logiciels utilitaires.
La campagne NoVoice représente une violation significative du processus de vérification des applications de Google, démontrant comment les acteurs de la menace continuent d'évoluer leurs techniques pour contourner les systèmes de balayage de sécurité automatisés. Le logiciel malveillant a été conçu avec des techniques d'obfuscation avancées qui lui ont permis de rester indétecté pendant une période prolongée tout en accumulant des millions de téléchargements d'utilisateurs non méfiants dans le monde entier.
L'analyse initiale révèle que NoVoice utilise un système de livraison de charge utile en plusieurs étapes, où l'application initiale semble complètement bénigne pendant le processus de révision de Google. La fonctionnalité malveillante ne s'active qu'après l'installation via une communication chiffrée avec des serveurs de commande et de contrôle. Cette technique d'activation différée est devenue de plus en plus courante parmi les familles de logiciels malveillants Android cherchant à établir une persistance sur Google Play.
La découverte a été faite par des chercheurs en cybersécurité qui ont remarqué des modèles de trafic réseau inhabituels et des demandes d'autorisation suspectes dans plusieurs applications partageant des signatures de code similaires. Une enquête plus approfondie a révélé que les applications faisaient partie d'une campagne coordonnée conçue pour récolter des données utilisateur sensibles et potentiellement établir un accès de porte dérobée aux appareils infectés.
Google a depuis supprimé toutes les applications identifiées comme infectées par NoVoice du Play Store et a initié une suppression automatique des appareils lorsque cela est possible. Cependant, les utilisateurs qui ont téléchargé ces applications avant la suppression peuvent encore avoir des applications compromises installées sur leurs appareils, nécessitant une intervention manuelle pour garantir une suppression complète.
Les utilisateurs Android de plusieurs types d'appareils exposés à NoVoice
La campagne de logiciels malveillants NoVoice a affecté les utilisateurs Android utilisant des appareils avec Android 7.0 (niveau API 24) et supérieur, englobant la grande majorité des installations Android actives dans le monde. Le nombre de téléchargements de 2,3 millions représente une estimation prudente, car certaines applications infectées peuvent avoir été installées et désinstallées plusieurs fois par les mêmes utilisateurs, tandis que d'autres pourraient avoir été installées via des magasins d'applications tiers.
L'analyse des applications infectées révèle qu'elles ciblaient des utilisateurs de divers groupes démographiques et régions géographiques. Les auteurs du logiciel malveillant ont délibérément choisi des catégories d'applications avec un attrait large, y compris les éditeurs de photos, les scanners de codes QR, les gestionnaires de fichiers et les applications météo. Cette stratégie a maximisé leur potentiel de victimes tout en évitant les soupçons qui pourraient survenir en ciblant des catégories de logiciels de niche ou spécialisées.
Les déploiements Android en entreprise courent un risque particulier si les employés ont téléchargé ces applications sur des appareils gérés par l'entreprise. Les organisations utilisant des solutions de gestion des appareils mobiles (MDM) devraient auditer leurs inventaires d'appareils pour la présence d'applications infectées par NoVoice. Les capacités d'exfiltration de données du logiciel malveillant pourraient potentiellement compromettre les identifiants d'entreprise, les communications internes et les informations commerciales sensibles stockées sur les appareils affectés.
Les utilisateurs dans les régions avec une connectivité Internet limitée ou ceux qui utilisent fréquemment des applications hors ligne peuvent être plus à risque, car le mécanisme d'activation différée du logiciel malveillant signifie que les appareils infectés pourraient rester compromis même sans connexions Internet actives. Les acteurs de la menace ont conçu NoVoice pour mettre en cache les données volées localement et les transmettre de manière opportuniste lorsque l'accès au réseau devient disponible.
Procédures de détection et de suppression complète de NoVoice
Les utilisateurs Android devraient immédiatement vérifier leurs applications installées pour toute application téléchargée depuis Google Play au cours des 30 derniers jours, en particulier celles dans les catégories de productivité et d'utilité. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils sur la détection des menaces mobiles, bien que NoVoice exploite spécifiquement des vulnérabilités au niveau des applications plutôt que des CVE au niveau du système.
Pour détecter d'éventuelles infections par NoVoice, les utilisateurs devraient examiner les autorisations des applications de leur appareil et rechercher des applications demandant un accès excessif aux contacts, aux messages SMS, à la localisation de l'appareil et aux fonctionnalités de la caméra. Les applications infectées demandent généralement des autorisations qui semblent sans rapport avec leur objectif déclaré, comme une simple application de calculatrice demandant l'accès aux journaux d'appels téléphoniques ou une application de lampe de poche exigeant des services de localisation.
La suppression complète nécessite plus que simplement désinstaller l'application visible. Les utilisateurs doivent effacer toutes les données et le cache de l'application avant la désinstallation, puis redémarrer leur appareil en mode sans échec pour s'assurer qu'aucun composant persistant ne reste actif. Les utilisateurs avancés devraient vérifier les processus en arrière-plan inhabituels en utilisant les options de développeur d'Android ou des outils de surveillance système tiers.
Les organisations devraient mettre à jour leurs politiques de sécurité mobile pour inclure des audits réguliers des applications installées et mettre en œuvre une liste blanche d'applications lorsque cela est possible. Le Microsoft Security Response Center recommande des approches similaires pour les déploiements mobiles en entreprise, en soulignant l'importance de l'éducation des utilisateurs et des contrôles techniques travaillant en combinaison.
Google a amélioré le balayage de Play Protect pour détecter les variantes de NoVoice, mais les utilisateurs devraient également envisager d'installer des solutions de sécurité mobile réputées qui fournissent une surveillance en temps réel et une analyse comportementale. Des analyses de sécurité régulières et le maintien à jour des mises à jour du système Android restent des mesures défensives essentielles contre les menaces mobiles évolutives comme NoVoice.
