39 applications iPhone et iPad, la plupart développée pour la Chine, ont été infectées par XcodeGhost, un malware qui recueille des informations sur votre appareil et envoie ces données à des serveurs distants. Parmi elles se trouve WeChat, l’une des applications les plus populaires de messagerie instantanée dans le monde ou encore CamCard, qui est le lecteur et le scanner de carte de visite le plus populaire dans de nombreux pays du monde dont les États-Unis.
Plutôt que d’exploiter une vulnérabilité iOS, le malware en question se faufile dans des applications, en ciblant les compilateurs officiels d’Apple utilisés pour créer des applications légitimes. Il s’est trouvé que le malware injecte son code malveillant dans un fichier objet Mach-O qui a été reconditionné dans certaines versions de Xcode, l’outil officiel de développement d’applications iOS et OS X.
Ces installateurs de cheval de Troie dans Xcode ont ensuite été uploadés sur le service de partage en ligne de Baidu utilisé par les développeurs d’applications chinois, explique Palo Alto Networks. Le code malveillant s’insère ensuite, à l’insu des développeurs, dans chaque app iOS compilée avec l’Xcode infecté.
Apple n’est pas à mettre en cause : cela ne serait jamais arrivé si ces développeurs avaient téléchargé Xcode depuis les serveurs d’Apple. Baidu a depuis retiré tous les fichiers infectés de ses serveurs et certaines des applications infectées se sont vues depuis retirer le code malveillant dans leurs dernières versions. Il s’agit là du sixième logiciels malveillant à qui on a affaire par le biais de l’App Store officiel après LBTM, InstaStock, FindAndCall, Jekyll et FakeTor.
Le code malveillant de XcodeGhost est particulièrement discret, cela explique pourquoi il peut passer le processus de dépistage de l’App Store. Les applications infectées par XcodeGhost collectent notamment les données suivantes :
- L’heure actuelle
- Le nom de l’application infectée
- L’identifiant du paquet de l’application
- Le nom et le type de l’appareil
- La langue et le pays du système
- L’UUID de l’appareil
- Le type de réseau
Mais pourquoi diable un développeur iOS téléchargerait Xcode autrement qu’en passant par Apple, vous demandez-vous. La faute à la lenteur des vitesses de téléchargement en Chine et dans d’autres endroits du monde et aux moteurs de recherche qui affichent des sources non officielles bien situées dans les résultats.
« Parfois, la vitesse du réseau est très lente lors du téléchargement de gros fichiers à partir de serveurs d’Apple » explique Palo Alto Networks. « Comme le programme d’installation standard de Xcode est de presque 3 Go, certains développeurs chinois choisissent de télécharger le package à partir d’autres sources ou d’obtenir des copies de leurs collègues ». Par ailleurs, les pirates n’ont pas besoin de tromper les développeurs en proposant au téléchargement une version non fiable de Xcode. Au lieu de cela, ils peuvent « écrire un malware pour OS X qui installe directement le fichier objet malveillant dans le répertoire Xcode sans autorisation spéciale. »
La version 6.2.5 de WeChat ayant été détectée comme infectée, ses développeurs ont rendu disponible la version 6.2.6 qui supprime le code malveillant. Tout compte fait, pas moins de 39 applications iOS populaires ont été identifiées comme étant infectées, « dont certaines sont extrêmement populaires en Chine et dans d’autres pays à travers le monde, compromettant des centaines de millions d’utilisateurs. »
Les applications « trojanisées » vont de logiciels de messagerie instantanée, en passant par des applications de banques ou d’opérateurs, des programmes de cartographie, jusqu’à des applications de négociation d’actions ou de jeux. La plupart des applications infectées sont développées exclusivement pour la Chine, comme Didi Chuxing (le Uber chinois), Railway 12306 (l’équivalent de Voyages SNCF en France), Tonghuashun (une application de trading) et China Unicom Office Mobile (l’application officielle du plus grand opérateur de téléphonie mobile en Chine, China Mobile). Certaines sont également disponibles à partir de l’App Store dans d’autres pays, telles que CamCard, WeChat.
Encore une fois, ce type de malware semble cibler principalement les applications développées pour le marché chinois. Mais comme certaines applications écrites par des développeurs chinois gagnent en popularité partout dans le monde, les possesseurs d’iPhone et d’iPad devraient être conscients du danger que représente ce nouveau type de logiciel malveillant, même s’ils demeurent impuissants face à la menace.
Les développeurs doivent s’assurer de télécharger Xcode directement auprès d’Apple et éviter d’utiliser des versions d’Xcode téléchargées à partir de sources tierces qui peuvent avoir été compromises par ce malware ou d’autres. Comme précaution supplémentaire, les développeurs doivent vérifier régulièrement que l’intégrité de leur Xcode n’a pas été altérée pour éviter qu’il soit modifié par d’autres malwares d’OS X.
Voici la liste de certaines applications recensées comme infectées et présentes sur l’App Store français :
- InstaFollower for Instagram Edition
- SaveSnap Free
- Quick Save Pro
- CamCard
- CamScanner+
- CamScanner Pro
- CamScanner Free
- Pocket Scanner
- SegmentFault
- OPlayerHD
- OPlayerHD Lite
- musical.ly
- Guitar Master
- Mercury
- WinZip
- WinZip Version Complète
- WinZip for SECTOR
- PDF Reader
- PDF Reader (FREE)
- guaji gangtai en
- Perfect365 HD
- White Tile
- Super Jewels Quest 2
- Flappy Circle
- GolfSense for iPhone
- GolfSense for iPad
- Hexin
- MobileTicket
- iVMS-4500 HD
- QYER
- ting
- installer
- Wallpapers 10000+
- TinyDeal.com
- iOBD2
- CuteCUT
- MiniStation Air2
- baba
- WeLoop
- Data Monitor
- MSL
- Biao Qing Bao
- jin
Possédez-vous l’une de ces applications sur votre iPhone ou votre iPad ? Trouvez-vous cela inquiétant ?
17 commentaires
Votre article est très long comparé à d’habitude
Aucune appli
J’ai aucune appli merci de cette info si je n’ai pas tout compris … :)
Juste une question, White Tile c’est l’appli de Ketchapp ou une fausse identique ? Merci d’avance !
Moi j’ai CamScanner +… Je suis sensé faire quoi ?
Bonjour
Oui que doit-on faire car pas très bien compris l’article ?
Cordialement
Il est possible d’avoir une explication un peu plus concise nous expliquant très clairement ce que nous risquons.
Merci.
Je ne comprend pas que Apple ne l’ai pas détecté. Lorsque l’on envoie une application ou une update a Apple elle passe en verification manuelle pendant 1 journee. Je pensais qu’Apple verifiait justement que l’application ne contenait pas de malware…
Le malware est passé inaperçu aux yeux d’Apple car il ne s’agit que de données qui peuvent paraître anodines envoyées à des serveurs distants, comme peuvent le faire certaines applications de manière tout à fait légitime.
J’ai oplayer… Suffit de la desinstaller ou resto obligatoire ?
J’ai la flemme de tt lire ;p
J’ai « pdf reader »…. Je dois faire quoi ?? Je flippe
Oui white tile
Mon iPhone n’arrêtait pas de cracher jusqu’à ce que je supprime l’appli
@Kor0ziff @Walter @Marius @mugiwara @bestiole: il n’y a rien à faire, c’est trop tard, le malware sera supprimé des prochaines versions de l’application ou l’a déjà été comme pour WeChat, @Zen l’intention des pirates n’est pas claire et nul ne sait ce qu’ils ont l’intention de faire des données collectées, il s’agit surtout d’éveiller l’opinion publique sur les risques auxquels on pourrait être exposés via notre smartphone.
@Djibril Dramé Merci à toi je viens de comprendre :)
Je lis un peut l’article je ferme et on me pirate le compte itunes carrément. On change mon nom mon mot de passe mon identifiant et mon adresse e-mail…. J’ai contacté apple et il vont mon re contactez dans 48h
J’avais téléchargé CamScanner Free… Depuis je l’ai supprimé.
J’imagine qu’il n’y a rien de plus a faire ? Les données récoltées ne sont pas sensibles, ça ne m’inquiète pas plus que ça.