Phishing d'identifiants : des applications sideloadées ouvrent des pop-ups trompeurs sur iOS

Dans cet article, l'équipe Jamf Threat Labs présente une nouvelle technique malveillante pour tromper les utilisateurs. Elle consiste à imiter d'authentiques messages pop-up dans le style natif d'iOS pour créer un faux sentiment de sécurité et inciter l'utilisateur à saisir ses identifiants.

Mai 30 2024 Par

Jamf Threat Labs

Drawing off an iPhone with hacker hiding under an app as if they were removing a manhole cover.

Auteurs : Hu Ke et Nir Avraham

Le phishing, une menace omniprésente, reste la méthode la plus efficace pour les pirates, et les appareils mobiles y sont particulièrement vulnérables. Les statistiques sont claires : les attaques de phishing sur les appareils mobiles affichent un taux de réussite 50 % plus élevé que sur Mac et atteignent 9 % des utilisateurs.

Pourquoi le phishing s'avère-t-il plus efficace sur les mobiles que sur les ordinateurs de bureau ?

Les récentes découvertes de Jamf Threat Labs ont mis au jour une technique malveillante reposant sur des applications chargées par sideloading. Elle consiste à créer des messages d'alerte trompeurs qui imitent parfaitement les invites d'iOS. Nous nous penchons sur cette technique pour mieux comprendre comment ces pop-ups trompeurs imitent l'interface d'iOS et incitent les utilisateurs peu méfiants à divulguer des identifiants sensibles.

Il ne faut jamais perdre de vue que dans le monde moderne, nos informations personnelles sont constamment en danger. Et quand les appareils personnels sont utilisés pour accéder aux ressources et aux données de l'entreprise, ce risque s'étend au lieu de travail. Les frontières s'estompent entre usages professionnels et personnels, ce qui complique encore les questions de sécurité et de protection de la vie privée. Qu'ils disposent ou non d'un appareil d'entreprise, les employés ont de toute façon tendance à utiliser leurs outils personnels pour travailler : 87 % des organisations s'attendent à ce que leurs employés utilisent leur propre smartphone pour accéder aux applications professionnelles..

Avec une moyenne de 3,6 appareils par personne dans le monde, la surface d'attaque des menaces informatiques s'est considérablement élargie. Les pirates tirent parti de cette vulnérabilité accrue en déployant des tactiques de phishing sophistiquées pour dérober des identifiants. Affinant constamment leurs approches pour les rendre toujours plus difficiles à détecter, ils reproduisent les expériences des terminaux modernes. Les pirates utilisent des interfaces réalistes et des messages convaincants pour inciter les utilisateurs à révéler des informations sensibles. À une époque où de nombreux appareils font partie intégrante du quotidien, le risque de violation de données augmente mécaniquement.

Face à ces tactiques sophistiquées, les utilisateurs doivent impérativement rester vigilants et informés. L'habillage graphique des applications iOS, autrefois un indicateur fiable d'authenticité, est désormais exploité par les pirates pour compromettre des terminaux sans susciter la moindre hésitation chez les utilisateurs.

Pop-ups de phishing

Imaginez le scénario suivant : un pop-up vous demande vos informations de connexion pendant que vous utilisez votre appareil iOS. Il semble authentique et se fond parfaitement dans l'interface que vous connaissez bien. Cependant, en y regardant de plus près, de subtiles divergences trahissent ses intentions malveillantes. Ces pop-ups trompeurs, tout à fait semblables aux invites d'iOS, sont conçus pour créer chez l'utilisateur un faux sentiment de sécurité. Pourtant, le risque est grand : le but est la compromission d'informations personnelles ou, pire, d'identifiants utilisés pour accéder à des ressources d'entreprise.

Reconnaître le vrai du faux

Les ficelles de cette tactique sont plus visibles lors de l'utilisation de Safari qu'avec d'autres applications iOS, car les pop-ups sont normalement absents de l'expérience de l'utilisateur. L'utilisateur final va probablement hésiter à saisir ses identifiants iTunes sur un site web.

Cela dit, les pop-ups trompeurs sont suffisamment convaincants et intégrés à l'expérience de navigation sur iPhone ou Mac pour que de nombreux utilisateurs, malgré leurs suspicions, cèdent à ces attaques. Du fait de cette particularité, cette tactique ne trompe pas tout le monde, mais elle peut inciter suffisamment d'utilisateurs à transmettre leurs identifiants.

Les fenêtres pop-up des applications iOS, en revanche, sont plus habituelles et il est beaucoup plus difficile de distinguer les vraies des imitations. Le sideloading d'applications tierces complique encore la détection des comportements frauduleux.

Pour illustrer l'importance de cette menace, voyons un exemple impliquant la modification et le sideloading de l'application Facebook. Le sideloading consiste à installer des applications à partir de sources autres que l'App Store officiel. Il présente de nombreux risques pour la posture de sécurité des appareils et des organisations. Les pirates utilisent des comptes de développeur et modifient les signatures des applications pour distribuer des logiciels malveillantes capables de récolter des données sensibles à l'insu de l'utilisateur.

Dans notre démonstration, nous présentons une application Facebook qui a été modifiée dans le but d'intercepter les données saisies au clavier par l'utilisateur, tout en conservant les fonctionnalités de base de l'application. Cette application modifiée est chargée par sideloading sur l'appareil iOS, et c'est pourquoi il est très difficile de distinguer la version malveillante de la version authentique. Voyons donc comment cela se présente et comment savoir si l'application a été sideloadée et exploitée, afin d'atténuer la menace. L'équipe de Jamf Threat Labs nous détaille cette technique.

Technique et éclairages découverts par : Hu Ke et Nir Avraham

Clause de non-responsabilité

La démonstration technique suivante, qui s'appuie sur l'application Facebook, est uniquement destinée à des fins d'éducation. Elle vise à illustrer les menaces potentiellement présentes sur les plateformes de réseaux sociaux populaires et n'a pas pour but d'encourager ou de faciliter des activités illégales ou contraires à l'éthique. L'exemple fourni s'appuie sur des scénarios réels pour souligner l'importance de la sensibilisation à la cybersécurité et des bonnes pratiques pour protéger les informations personnelles et sensibles en ligne.

Jamf ne tolère ni n'approuve l'accès non autorisé, l'exploitation ou la manipulation de Facebook ou de toute autre plateforme ou service.

Toute action entreprise à la suite de cette démonstration relève de la seule responsabilité des personnes qui la mènent. Nous ne tolérons ni n'approuvons l'accès non autorisé, l'exploitation ou la manipulation de Facebook ou de toute autre plateforme en ligne.

Les utilisateurs doivent respecter l'ensemble des lois, des conditions de service et des directives éthiques en vigueur lorsqu'ils utilisent les plateformes de réseaux sociaux et mènent des recherches ou des démonstrations dans le domaine de la cybersécurité.

Phishing invisible : les risques du sideloading

Création de l'application malveillante

  1. En premier lieu, il faut se procurer le fichier .ipa de l'application d'origine. Après l'avoir décompressé, nous empaquetons le code que nous avons l'intention d'injecter dans un fichier .dylib. Nous obtenons un fichier libcode.dylib (illustré ci-dessous) que nous plaçons dans le dossier Frameworks.
  2. Ensuite, nous modifions l'en-tête du binaire principal pour qu'il charge obligatoirement le code de notre bibliothèque personnalisée à chaque fois que l'application est lancée.
  3. Enfin, nous rempaquetons le tout dans un fichier .ipa, prêt à être distribué.

Diffusion de l'application malveillante

Cette phase vise à faciliter l'installation de l'application par le biais d'une plateforme de sideloading, ce qui implique d'intervenir au niveau de la signature du code. Il existe une option totalement gratuite, AltStore, qui permet d'installer n'importe quel fichier .ipa sur un appareil personnel avec un compte de développeur gratuit.

Remarque : Les applications installées via sideloading peuvent avoir le même nom et le même identifiant que leur version authentique, sans affecter l'expérience utilisateur.

Conseil de pro : En accédant à Réglages | Général | Stockage de l'iPhone, vous pouvez afficher la taille et la version de chaque application installée. Si vous comparez les applications sideloadées à leur version fournie sur l'App Store, vous remarquerez plusieurs différences. Les apps sideloadées n'affichent pas le nom du développeur, « Meta Platforms, Inc. » par exemple, comme le montre l'exemple. Il manque également l'option « Décharger l'application ».

Pour des raisons éthiques, nous ne partagerons pas le code utilisé dans cette démonstration. Sachez simplement que le code malveillant utilise les classes de saisie de texte textFieldDidChange: et textViewDidChangeSelection: couramment utilisées par l'application Facebook et qui peuvent être obtenues par rétro-ingénierie. Ensuite, chaque fois que le texte de la zone de texte change, il extrait le contenu et l'envoie à notre serveur.

Vidéo de démonstration

Conclusion

Si le sideloading offre une certaine flexibilité en permettant aux utilisateurs d'installer des applications introuvables sur l'App Store, il introduit également des vulnérabilités de sécurité. Certaines applications sideloadées prennent l'apparence de versions authentiques et sont difficiles à détecter pour les utilisateurs finaux. Des différences subtiles, comme l'absence d'informations sur le développeur, peuvent trahir la présence de menaces.

Ces techniques avancées de phishing ont de lourdes implications. Plus de 90 % des attaques informatiques sont associées à des tentatives de phishing, selon une étude de Jamf Threat Labs. Les utilisateurs mobiles ont donc tout intérêt à faire preuve de prudence.

Jamf offre des solutions complètes de sécurité mobile, conçues pour identifier et déjouer les attaques sophistiquées afin de protéger les données personnelles et professionnelles. Plus que jamais, votre stratégie de défense doit intégrer de robustes mesures de sécurité mobile pour atténuer les risques croissants.

Les solutions de sécurité mobile de Jamf protègent vos appareils, vos utilisateurs, vos données et votre vie privée.