Applications iOS populaires infectées par des logiciels malveillants pour voler des identifiants iCloud trouvées dans l'App Store chinois

Applications infectées par des logiciels malveillants volants d’informations trouvées dans l’App Store chinois d’Apple

L’App Store iOS est généralement une source fiable de logiciels, en raison des contrôles de sécurité stricts d’Apple. Cependant, récemment, il a été découvert qu’un certain nombre d’applications chinoises hébergées sur l’App Store officiel d’Apple étaient infectées par un code douteux siphonnant des informations des téléphones des utilisateurs. Il semble que les hackers aient ciblé certaines versions du logiciel utilisé par les développeurs pour créer des applications pour iOS et OS X en premier lieu.

Des développeurs chinois sur Weibo ont été les premiers à mettre en lumière le logiciel malveillant, qui a ensuite été analysé par des chercheurs d’Alibaba. De plus, la société de sécurité Palo Alto Networks a vérifié les résultats.

Selon les experts en sécurité, même des applications populaires comme WeChat, une application de messagerie et de réseau social très populaire, et Didi Kuaidi, le principal concurrent d’Uber en Chine, portaient la menace.

Le piratage dépend entièrement de Xcode, un outil utilisé pour créer des applications iOS et OS X. En général, Xcode peut être téléchargé directement depuis Apple gratuitement. Cependant, il est possible d’obtenir Xcode à partir d’autres sources également, comme des forums de développeurs. Le problème a commencé lorsque des développeurs ont téléchargé des versions modifiées de Xcode (nommées « XcodeGhost » par les chercheurs d’Alibaba) à partir de sites tiers.

De nombreux développeurs ont choisi de récupérer Xcode depuis le service de partage de fichiers Baidu plutôt que directement depuis Apple. Mais d’une manière ou d’une autre, ces téléchargements avaient été modifiés pour ajouter des logiciels malveillants aux applications construites avec le Xcode modifié, afin qu’elles récupèrent des données apparemment inoffensives des iPhones, telles que le nom de l’appareil et des informations réseau de base.

Cependant, le logiciel malveillant n’est pas si délicat. Claud Xiao, chercheur senior en logiciels malveillants chez Palo Alto Networks, a déclaré à Forbes : « il peut être contrôlé à distance par l’attaquant pour hameçonner ou exploiter des vulnérabilités locales du système ou de l’application ». Cela rend XcodeGhost potentiellement plus dangereux et semble être un point d’entrée sur les iPhones pour une exploitation ultérieure.

Ryan Olson, directeur du renseignement de l’unité de recherche Unit 42 chez Palo Alto Networks, a expliqué davantage : « Après avoir contacté le serveur de commande et de contrôle pour télécharger des informations sur l’appareil infecté, le logiciel malveillant récupère une réponse cryptée du serveur. Cette réponse contient plusieurs commandes possibles. L’une d’elles spécifie un message à envoyer à l’utilisateur sous la forme d’une invite d’alerte. »

« Nous avons des preuves que cela a été utilisé pour ‘hameçonner’ des identifiants iCloud auprès des utilisateurs d’applications infectées. La réponse peut également contenir une URL que l’application ouvrira ensuite. Nous ne savons pas comment cela est utilisé, mais cela pourrait être utilisé pour envoyer d’autres applications sur le téléphone vers des ressources potentiellement malveillantes. »

Une fois l’application téléchargée, les applications développées avec le code XcodeGhost collecteront un certain nombre de détails sur l’appareil d’un client. Les données extraites incluent le nom de l’appareil, l’UUID, la langue, le type de réseau du pays et l’heure actuelle — aucune de ces informations n’est vraiment utilisable par un hacker contre vous. Ce n’est pas une énorme violation, mais personne ne veut être suivi par des sources inconnues.

Tout développeur ayant obtenu sa copie de Xcode à partir d’une source non officielle pourrait être affecté. Selon Palo Alto Networks, basé aux États-Unis, il semblait que les infections étaient initialement contenues aux applications chinoises et affectaient largement les utilisateurs chinois. Cependant, il est maintenant devenu évident qu’une gamme beaucoup plus large d’applications était infectée, touchant des centaines de millions d’utilisateurs à travers le monde. La société a noté que CamCard, le lecteur et scanner de cartes de visite le plus populaire aux États-Unis et dans de nombreux autres pays, contenait XcodeGhost.

Les développeurs créant des applications d’entreprise pourraient également être affectés par XcodeGhost. Ce sont des applications créées par des entreprises spécifiquement pour les appareils de leurs propres employés, donc elles n’ont pas à passer par un quelconque contrôle de sécurité d’Apple. Cependant, « c’est une attaque assez obscure », a déclaré Charlie Miller, un chercheur en sécurité chez Uber qui a réussi à faire entrer son propre logiciel malveillant sur l’App Store en 2011, à Wired.

Bien que le logiciel malveillant dans l’App Store lui-même ne soit pas une préoccupation, la question plus importante ici est de savoir comment il a pu passer les contrôles de sécurité stricts d’Apple.

« Vous pourriez avoir entièrement confiance dans le développeur de l’application, et ce développeur pourrait être totalement digne de confiance, mais c’est un cas où l’application ne l’était pas », a déclaré Miller. Le fait est que le logiciel fabriqué à partir d’une version altérée de Xcode a trouvé son chemin vers l’App Store.

Apple n’a pas répondu aux demandes de commentaires concernant XcodeGhost et les applications infectées.

Les consommateurs et les personnes qui ont téléchargé les applications malveillantes devraient-ils s’inquiéter ? Peut-être seulement légèrement. « Je ne m’inquiéterais pas trop », dit Miller. Les applications qui ont réussi à passer ne semblaient pas vouloir faire de choses désagréables. « Si vous le rendiez vraiment, évidemment mauvais, probablement [Apple] le détecterait », dit Miller.

La morale de l’histoire est que si vous avez téléchargé l’une de ces applications peu fiables, supprimez-la et suivez avec des rapports d’autres qui ont réussi à passer. De plus, les développeurs ne devraient pas télécharger leurs outils à partir de sites tiers aléatoires.