© Apple
© Apple

Le processus de vérification de l’App Store est très difficile à franchir pour les applications malveillantes. Néanmoins, des escrocs ont trouvé comment l'outrepasser pour infecter les appareils iOS. 

L’entreprise spécialisée en sécurité Sophos a expliqué comment une campagne de cybercriminalité baptisée « CryptoRom » est parvenue à intégrer les appareils iOS avec de fausses applications de crypto-monnaie. 

Un abus « trop simple »

Les cybercriminels derrière CryptoRom utilisent TestFlight pour berner les utilisateurs. En installant cette application depuis l’App Store, n’importe qui peut bêta tester des applis n’ayant pas encore passé le processus de vérification de Cupertino. Pour les tests internes de moindre envergure, jusqu'à 100 utilisateurs peuvent participer par invitation électronique ; pour les tests bêta plus importants, jusqu'à 10 000 personnes peuvent les rejoindre via un lien public.

« L'approche de distribution par courrier électronique, plus modeste, ne nécessite pas d'examen de la sécurité de l'App Store, tandis que les applications TestFlight partagées par des liens Web publics nécessitent un examen initial de la construction du code par l'App Store. Malheureusement, comme nous l'avons vu se produire avec d'autres schémas de distribution d'applications alternatifs soutenus par Apple, "TestFlight Signature" est disponible en tant que service hébergé pour le déploiement alternatif d'applications iOS, ce qui rend l'abus trop simple pour les auteurs de logiciels malveillants. Ces services tiers sont largement utilisés par les auteurs de CryptoRom », explique Sophos.

De fausses applications de crypto-monnaies

Ainsi, les utilisateurs iOS ayant mordu à l'hameçon ont reçu un lien qui, une fois cliqué, a fait en sorte que l'application TestFlight télécharge et installe une fausse application de crypto-monnaie. « Certaines des victimes qui nous ont contactés ont indiqué qu'on leur avait demandé d'installer ce qui semblait être BTCBOX, une application pour une bourse de crypto-monnaies japonaise. Nous avons également trouvé de faux sites qui se faisaient passer pour la société d'extraction de crypto-monnaies BitFury et qui vendaient de fausses applications via TestFlight », continue l’entreprise. 

Elle précise en outre que les pirates derrière CryptoRom utilisaient également le schéma de distribution d'applications Super Signature d'Apple, ainsi que le schéma de déploiement d'applications d'entreprise de la marque à la pomme. Nous constatons maintenant que les auteurs de CryptoRom abusent également de TestFlight d'Apple. Cependant, TestFlight semble être privilégié car cette méthode est « moins coûteuse que les autres systèmes car tout ce dont vous avez besoin est un fichier IPA avec une application compilée ». 

Bien que le processus de vérification mis en place par la firme de Cupertino ait permis d'éviter des fraudes s'élevant à 1,5 milliard de dollars, le rapport de Sophos démontre qu’il n’est pas infaillible. 

Source : Sophos