Si de nombreux utilisateurs trouvent un certain bonheur dans le Jailbreak, ils ne sont pas toujours conscients qu’ils s’exposent à des problèmes de sécurité. Comme l’a découvert l’expert Axelle Apvrille, un malware iOS au nom de « AdThief » aurait déjà infecté plus de 75.000 appareils iOS jailbreakés permettant ainsi de détourner les recettes publicitaires des développeurs.
Ce malware chinois utilisé par les cybercriminels aurait détourné près de 22 millions d’annonces et volé les recettes des développeurs de la communauté jailbreak iOS. Le malware AdThief repose sur l’extension Cydia Substrate qui est présent sur les appareils jailbreakés.
Apvrille a réussi à identifier l’auteur de ce malware et porte le pseudo « Rover12421 » – le code source comprend les références du chemin ‘/ Users / Rover12421 qui a permis à l’expert de localiser le codeur.
Le pirate chinois est spécialisée dans les plates-formes mobiles et prétend avoir écrit des parties de AdThief il y a quelque temps, mais qu’un tiers aurait amélioré son code source.
« L’auteur des logiciels malveillants a oublié de dépouiller des informations de débogage – ce qui est utile (pour nous) pour identifier les adkits qu’il vise par leurs noms de fichiers sources. Il est également utile pour identifier l’auteur des logiciels malveillants. En effet, les cordes à l’intérieur du malware montrent le chemin suivant: / Users / Rover12421 / Library / Developer / Xcode / « , a déclaré l’expert.
Le codeur Rover12421 a admis avoir écrit le logiciel malveillant AdThief mais a nié toute responsabilité de sa propagation. Il tient également un blog sur lequel il propose divers hacks pour Android, et est aussi présent sur Twitter bien que peu actif. Il opère aussi sur Github sous le même pseudo « Rover12421 ». Comme le note Apvrille, et le codeur chinois se fait appelé « zerofile » sur certains forums.
Le malware permet donc de détourner les blocks publicitaires en provenance de plusieurs régies dont Google-owned AdMob, Google Mobile Ads parmi les 15 répertoriés.
« En d’autres termes, chaque fois que vous affichez ou cliquez sur une annonce sur un dispositif infecté, le chiffre d’affaires correspondant va à l’attaquant, et non pas au développeur ou à l’affiliation légitime», « AdThief modifie l’ID de développeur (ID publicitaire) pour correspondre à celle de l’attaquant. » indique Apvrille.
Pour l’heure, aucune solution n’est proposée pour savoir si votre appareil jailbreaké est infecté par AdThief, ou encore pour résoudre le problème. Certainement que dans les semaines à venir quelque chose sera fait et nous vous le ferons savoir. Sinon, nous tenons à préciser qu’il n’y a rien à craindre pour l’utilisateur ou même ses données – le malware travaille de façon à juste rediriger les gains publicitaires. [via]
