Les escrocs qui distribuent des logiciels malveillants iOS améliorent leur jeu en abusant de deux fonctionnalités Apple légitimes pour contourner les exigences de vérification de l’App Store et inciter les gens à installer des applications malveillantes.
Apple exige depuis longtemps que les applications passent l’autorisation de sécurité et soient acceptées dans l’App Store avant de pouvoir être installées sur les iPhones et les iPads. La vérification empêche les applications malveillantes d’entrer dans les appareils, où elles peuvent ensuite voler de la crypto-monnaie, des mots de passe ou effectuer d’autres activités néfastes.
Un article publié mercredi par la société de sécurité Sophos met en lumière deux nouvelles méthodes utilisées dans une campagne contre le crime organisé appelée CryptoRom, qui propose de fausses applications de crypto-monnaie à des utilisateurs iOS et Android sans méfiance. Alors qu’Android autorise le « chargement latéral » d’applications tierces, Apple exige que les applications iOS proviennent de l’App Store après avoir subi un contrôle de sécurité approfondi.
Moins cher et plus facile
Entrez TestFlight, une plate-forme fournie par Apple pour les tests bêta de nouvelles applications. En installant l’application TestFlight d’Apple à partir de l’App Store, tout utilisateur iOS peut télécharger et installer des applications qui n’ont pas encore passé le processus de vérification. Une fois TestFlight installé, l’utilisateur peut télécharger les applications non vérifiées via des liens que les attaquants publient sur des sites frauduleux ou dans des e-mails. Les utilisateurs peuvent utiliser TestFlight pour inviter jusqu’à 10 000 testeurs en utilisant leur adresse e-mail ou en partageant un lien public.
« Certaines des victimes qui nous ont contactés ont signalé qu’on leur avait demandé d’installer ce qui semblait être BTCBOX, une application pour un échange de crypto-monnaie japonais », a écrit Jagadeesh Chandraiah, analyste des logiciels malveillants à la société de sécurité Sophos. «Nous avons également trouvé de faux sites Web se faisant passer pour la société minière de crypto-monnaie BitFury vendant de fausses applications via TestFlight. Nous continuons à rechercher d’autres applications CryptoRom avec la même approche.
Le message de mercredi présentait plusieurs des images utilisées dans la campagne CryptoRom. Les utilisateurs d’iOS qui ont pris l’appât ont reçu un lien qui, une fois cliqué, a amené l’application TestFlight à télécharger et à installer la fausse application de crypto-monnaie.
Chandraiah a déclaré que le vecteur TestFlight offre aux attaquants des avantages non disponibles avec des techniques de contournement plus connues de l’App Store qui abusent également des fonctionnalités légitimes d’Apple. L’une de ces fonctionnalités est la plate-forme Super Signature d’Apple, qui permet aux utilisateurs d’utiliser leur compte de développeur Apple pour déployer des applications sur une base ad hoc limitée. L’autre fonction est le Developer Enterprise Program de la société. Cela permet aux grandes organisations de fournir des applications propriétaires à usage interne sans obliger les employés à utiliser l’App Store. Les deux méthodes obligent les escrocs à payer de l’argent et à franchir d’autres obstacles.
En revanche, Chandraiah a déclaré à TestFlight :
est moins cher à utiliser que d’autres schémas car tout ce dont vous avez besoin est un fichier IPA avec une application compilée. La distribution est gérée par quelqu’un d’autre, et si (ou si) le logiciel malveillant est remarqué et signalé, l’auteur du logiciel malveillant peut simplement se rendre au service le plus proche et recommencer. [TestFlight] est préféré à Super Signature ou Enterprise Signature par les développeurs d’applications malveillantes dans certains cas, car il est légèrement moins cher et semble plus légitime lorsqu’il est distribué avec l’application Apple Test Flight. Le processus de vérification est également considéré comme moins rigoureux que la vérification de l’App Store.
Ce n’est pas tout
Le message indique que les escrocs CryptoRom utilisent une deuxième fonctionnalité Apple appelée WebClips pour masquer également leurs activités. Connue sous le nom de WebClips, cette fonctionnalité ajoute un lien de page Web directement sur l’écran d’accueil de l’iPhone sous la forme d’une icône qui peut être confondue avec une application bénigne. Les WebClips apparaissent après qu’un utilisateur a enregistré un lien Web.
Le chercheur de Sophos a déclaré que CryptoRom pourrait utiliser WebClips pour ajouter du poids aux URL malveillantes qui font proliférer de fausses applications. Voici une icône pour une application appelée RobinHand qui est conçue pour imiter l’application de trading légitime Robinhood.
Les escrocs CryptoRom s’appuient fortement sur l’ingénierie sociale. Ils utilisent une variété d’astuces pour établir des relations avec des cibles, bien qu’ils ne se rencontrent jamais face à face. Les réseaux sociaux, les sites de rencontres et les applications de rencontres font partie de ces astuces. Dans d’autres cas, les escrocs établissent des relations par le biais de « messages WhatsApp apparemment aléatoires offrant des conseils d’investissement et de trading aux destinataires ».
Les abus de TestFlight et WebClips sont susceptibles d’être découverts par les internautes avertis, mais les personnes moins expérimentées peuvent être dupées. Les utilisateurs d’iOS doivent se méfier des sites Web, des e-mails ou des messages leur demandant de télécharger des applications à partir de toute source autre que l’App Store officiel. Un représentant d’Apple a déclaré que cette page d’assistance montre comment éviter et signaler la fraude. Apple a des guides supplémentaires ici et ici.