Un cheval de Troie infecte 17 applications sur l’App Store

Le module clicker découvert dans ce groupe d'applications exécute des opérations de fraude publicitaire en arrière-plan. Il peut ainsi ouvrir des pages web et cliquer sur des liens en continu, sans aucune interaction de l'utilisateur.

Dans la plupart des cas, les chevaux de Troie clicker visent à générer des revenus issus du paiement au clic en gonflant artificiellement le trafic d'un site web. Ils peuvent également s'attaquer au budget d'un concurrent, en faisant augmenter la facture de son réseau publicitaire.

Parce qu'elles sont infectées par le module clicker, ces applications entrent dans la catégorie des chevaux de Troie de la classification Wandera.

Pourquoi catégoriser ce programme comme logiciel malveillant

Les chevaux de Troie clicker représentent une catégorie bien connue de logiciels malveillants spécialisés dans la fraude publicitaire. Ils se connectent de façon répétée à des réseaux publicitaires ou des sites web afin de gonfler artificiellement le nombre de visiteurs ou de générer des revenus grâce au paiement au clic.

Cette classification est conforme à celle qu'emploient d'autres acteurs du secteur de la sécurité, tels que Malwarebytes et F-Secure.

À propos des apps infectées

Les 17 applications concernées appartiennent à diverses catégories : productivité, utilitaires de plateforme et voyage, entre autres. Voici la liste complète des apps infectées :

• RTO Vehicle Information

• EMI Calculator & Loan Planner

• File Manager – Documents

• Smart GPS Speedometer

• CrickOne – Live Cricket Scores

• Daily Fitness – Yoga Poses

• FM Radio – Internet Radio

• My Train Info – IRCTC & PNR (non répertoriée dans le profil du développeur)

• Around Me Place Finder

• Easy Contacts Backup Manager

• Ramadan Times 2019

• Restaurant Finder – Find Food

• BMI Calculator – BMR Calc

• Dual Accounts

• Video Editor – Mute Video

• Islamic World – Qibla

• Smart Video Compressor

Les 17 applications infectées sont publiées sur les App Stores de différents pays par le même développeur, AppAspect Technologies Pvt.  Ltd, basé en Inde.

Au moment de la recherche, ce développeur avait publié 51 applications sur l'App Store (notez que l'une des applications infectées présente sur l'App Store – My Train Info – n'apparaît pas dans le profil du développeur).

Nous avons testé toutes les applications iTunes gratuites du développeur. D'après nos résultats, 17 sur 35 sont infectées par le même clicker malveillant et communiquent avec le même serveur C&C.

Ce serveur C&C a été signalé pour la première fois par Dr. Web suite à une campagne d'infection par cheval de Troie clicker très similaire sur Android.

À propos du serveur C&C

D'après les recherches de Dr. Web, le serveur C&C servait à envoyer des instructions aux applications infectées. Celles-ci pouvaient alors déclencher des publicités ciblées, mais aussi charger des sites web à l'insu de l'utilisateur et même modifier la configuration de son appareil à distance. Certaines victimes ont, par exemple, été frauduleusement abonnées à des services de contenu onéreux.

Les apps identifiées par Wandera communiquent avec le même serveur C&C en appliquant un chiffrement robuste que les chercheurs ne sont pas encore parvenus à percer. Selon le rapport de Dr. Web, les applications Android connectées à ce serveur recueillaient des données privées sur l'appareil : marque et modèle, pays de résidence de l'utilisateur et informations de configuration diverses.

Les dangers d'une infrastructure C&C sur une app

En établissant un canal de communication direct avec le pirate à l'insu d'Apple, le serveur de commande et contrôle permet à une application malveillante de contourner les dispositifs de sécurité. Ce canal peut envoyer des publicités (comme dans le cas du clicker iOS), des instructions et même des charges utiles (fichier image corrompu, document ou autre). En d'autres termes, l'infrastructure C&C est une « porte dérobée » dans l'application. Elle facilite l'exploitation des vulnérabilités qui pourraient se manifester et permet au pirate d'activer du code clandestin dissimulé dans l'app originale.

On découvre régulièrement de nouvelles vulnérabilités qui entraînent des fuites de données privées et rendent le sandbox inopérant. Apple a même réintroduit par inadvertance des vulnérabilités connues dans son produit.
Voici quelques exemples de vulnérabilités et d'exploits sur iOS :

• L'app Uber a utilisé les fonctionnalités d'accessibilité pour espionner les activités des utilisateurs sur Lyft

• Une faille de sécurité de Chrome a entraîné le contournement du sandbox iOS

• Apple a réintroduit une faille de jailbreak dans iOS

Plus d'informations sur le développeur

Les recherches de Wandera montrent que le développeur iOS AppAspect Technologies a utilisé le serveur C&C identifié par Dr. Web.

AppAspect Technologies possède également un profil de développeur sur le Google Play Store, où il a publié 28 applications. Wandera a testé ces applications Android et découvert qu'elles ne communiquaient pas avec le serveur C&C identifié.

Cependant, des recherches supplémentaires ont révélé que certaines applications Android d'AppAspect avaient déjà été infectées par le passé et retirées du store. Elles ont depuis été republiées, visiblement sans fonctionnalité malveillante. Rien ne permet d'établir si le code malveillant a été ajouté intentionnellement par le développeur.

Notre processus de divulgation responsable

L'App Store d'Apple ne propose pas de processus formel de signalement des apps malveillantes. Toutefois, avant de publier cette étude, nous nous sommes entretenus directement avec l'équipe d'Apple chargée de la sécurité des produits (et avec laquelle nous avons déjà collaboré par le passé).

Lorsque l'équipe de recherche sur les menaces de Wandera découvre une vulnérabilité, que ce soit dans un système d'exploitation, une app mobile ou un site web, notre priorité est de contacter le fournisseur concerné (Apple dans ce cas) le plus rapidement possible. Nous lui communiquons toutes les informations et recommandations utiles qui permettront de neutraliser la menace.

Nous n'interagissons pas avec les développeurs de logiciels malveillants, c'est une règle dans notre entreprise. Nous cherchons avant tout à supprimer les menaces actives qui pèsent sur les utilisateurs et à aider les développeurs légitimes à corriger les vulnérabilités présentes dans leur code.

La réponse d'Apple

Apple a retiré toutes les apps compromises, à l'exception de deux que nous continuons à surveiller : My Train Info – IRCTC & PNR et Easy Contacts Backup Manager.

Selon cet article de Help Net Security : « Un porte-parole d'Apple a déclaré à Help Net Security que 18 applications ont été supprimées car elles contenaient du code permettant de simuler des clics sur des annonces, ce qui est contraire à leurs directives. La plateforme a également mis ses outils à jour afin de détecter toute nouvelle tentative de publication de ce type d'application. »

Recommandations

Cette découverte est loin d'être unique sur un store mobile officiel. Mais elle démontre une fois de plus que l'écosystème iOS n'est pas épargné par les logiciels malveillants. Les logiciels malveillants visant les mobiles ne sont pas les plus courants, mais ils gagnent du terrain dans certains scénarios d'attaques ciblées. Comme on le voit dans cet exemple, ces logiciels parviennent de plus en plus à s'infiltrer dans les boutiques d'applications officielles, et donc à toucher les consommateurs et les travailleurs mobiles.

Comme toujours, nous recommandons aux entreprises utilisant des appareils mobiles de vérifier la sécurité et la fiabilité des apps, en particulier si elles sont gratuites : elles doivent avoir de bons avis, provenir de développeurs légitimes et fonctionner sans demander d'autorisations inutiles ou à risque.

De plus, tant pour les appareils BYOD que pour les appareils d'entreprise, Wandera recommande d'installer une solution de sécurité mobile pour protéger vos données sensibles. Cet outil va bloquer le trafic C&C et toutes les connexions extérieures qu'une application malveillante pourrait tenter d'établir. Même une fois installée sur un appareil, son champ d'action sera fortement limité et les données de l'entreprise seront en sécurité.

* La liste initiale d'applications infectées établie par Wandera comprenait deux versions de l'app de scores de cricket « CrickOne », hébergées sur des App Stores régionaux différents avec des métadonnées distinctes. Après examen minutieux, nous avons confirmé que ces applications utilisent la même base de code. Le nombre total d'applications infectées a donc été ramené à 17 pour tenir compte de cette observation.