TestFlight d’Apple a été exploité par certains escrocs pour distribuer des applications frauduleuses en contournant les contrôles de l’entreprise.
Comme l’a découvert la société de sécurité Sophos, un groupe d’escrocs a organisé une campagne connue sous le nom de « CryptoRom » pour distribuer de fausses applications de crypto-monnaie aux utilisateurs iOS et Android.
Quant à iOS, où la distribution externe à l’App Store est beaucoup plus complexe, les escrocs ont compris qu’ils pouvaient utiliser une plateforme officielle comme TestFlight pour créer et distribuer des applications frauduleuses. Avec TestFlight d’Apple, les développeurs peuvent avoir jusqu’à 10 000 testeurs pour installer leurs applications bêta, des applications qui ne passent pas par le processus d’examen de l’App Store car la plate-forme est conçue pour tester les logiciels en pré-version.
Par conséquent, Apple ne peut pas savoir que les escrocs distribuent des applications malveillantes aux utilisateurs iOS via TestFlight. Le processus d’installation d’une application à l’aide de TestFlight est également assez simple, car le développeur peut même créer un lien de téléchargement public au lieu d’inviter chaque utilisateur avec son e-mail.
« Certaines des victimes qui nous ont contactés ont dit qu’on leur avait demandé d’installer ce qui semblait être BTCBOX, une application japonaise d’échange de crypto-monnaie », a écrit Jagadeesh Chandraiah, analyste des logiciels malveillants à la société de sécurité Sophos. « Nous avons également trouvé de faux sites se présentant comme une société minière de crypto-monnaie, puis distribuant de fausses applications via TestFlight. Nous continuons à chercher d’autres applications CryptoRom utilisant la même approche ».
Le rapport révèle également que les escrocs font également la promotion d’applications Web malveillantes pour contourner le processus d’examen de l’App Store.
Étant donné que la modification du fonctionnement et du contrôle de TestFlight affecterait les développeurs honnêtes, Apple rappelle aux utilisateurs qu’ils peuvent éviter les escroqueries en ne téléchargeant et en n’installant aucun logiciel provenant de sources inconnues, même s’il est distribué via TestFlight.
