Apple a confirmé que 17 applications malveillantes pour iPhone ont été supprimées de l’App Store, après avoir échappé aux contrôles d’examen de l’entreprise.
Les applications ont toutes été créées par un seul développeur et couvraient un large éventail de domaines, y compris des apps permettant de rechercher des restaurants à proximité et de calculer l’IMC, un compresseur vidéo, un indicateur de vitesse GPS, entre autres.
Les applications malveillantes ont été découvertes par la société de sécurité mobile Wandera :
« Ces apps semblaient fonctionner normalement et faisaient ce que l’utilisateur espérait trouver, mais en réalité, elles commettaient une fraude en arrière-plan.
Le module clicker trojan découvert dans ce groupe d’applications est conçu pour effectuer des tâches liées à la fraude publicitaire en arrière-plan, telles que l’ouverture continue de pages Web ou le clic sur des liens sans aucune interaction de l’utilisateur.
L’objectif de la plupart des chevaux de Troie clickers est de générer des revenus de paiement par clic pour l’attaquant en augmentant le trafic de son site Web. Ils peuvent également être utilisés pour drainer le budget d’un concurrent en gonflant artificiellement le solde dû au réseau publicitaire. »
Bien qu’aucun dommage direct n’ait été causé aux utilisateurs de l’application, l’activité implique l’utilisation de données mobiles, ainsi que le potentiel de ralentissement du téléphone et l’accélération de la consommation de la batterie.
Wandera a déclaré que ce malware a échappé au processus de révision d’Apple, car le code malveillant n’était pas trouvé dans l’application elle-même, car chaque application recevait des instructions depuis un serveur distant :
« Les applications communiquent avec un serveur de commande et de contrôle (C&C) connu pour simuler les interactions de l’utilisateur afin de collecter frauduleusement des revenus publicitaires. Command & Control permet aux applications malveillantes d’ignorer les contrôles de sécurité car elle active un canal de communication directement avec l’attaquant qui n’est pas à la vue d’Apple. Les canaux C&C peuvent être utilisés pour diffuser des annonces (telles que celles utilisées par Clicker Trojan iOS), des commandes et même des données utiles (telles qu’un fichier image corrompu, un document ou autre). En résumé, l’infrastructure C&C est une « porte dérobée » dans l’application qui peut être exploitée si et quand une vulnérabilité est détectée ou lorsque l’attaquant choisit d’activer un code supplémentaire pouvant être masqué dans l’application d’origine. »
Apple indique qu’elle améliore le processus de révision des applications pour détecter ce type d’approche.
Le même serveur contrôlait également les applications Android, où les attaquants étaient en mesure d’effectuer des opérations encore plus frauduleuses, telles que la collecte de données d’utilisateurs privés, ce qui n’est pas possible sur iOS. Le système Apple vise à se protéger du sandboxing. Chaque application possède son propre environnement privé. Elle ne peut donc pas accéder aux données du système ni aux données d’autres applications à moins d’utiliser des processus spécifiquement autorisés et surveillés par iOS.
