ZergHelper : une boutique d’apps piratées à télécharger sur l’App Store

Mickaël Bazoge | | 20:42 |  23

Apple a édicté un certain nombre de bonnes pratiques à destination des développeurs qui veulent distribuer leurs applications sur iOS. C’est la fameuse étape de la validation que les dévs connaissent bien, et qui provoquent parfois des crises d’urticaire quand une décision de l’équipe de validation refuse une app pour telle ou telle raison. Il arrive aussi qu’une application passe à travers les mailles du filet.

Parmi ces règles, l’App Store rejette les applications qui peuvent distribuer d’autres applications… Encore faut-il que cette app joue franc jeu, ce qui n’a pas été le cas d’Happy Daily English. Sous couvert de logiciel d’apprentissage d’anglais, cette app était en fait une boutique sur laquelle les utilisateurs pouvaient télécharger gratuitement des applications piratées.

Parmi les raisons pour lesquelles l’App Store a pu être induit en erreur, se trouve le fait qu’Happy Daily English se présente réellement comme une app pour apprendre l’anglais… en dehors des frontières chinoises. Utilisé en Chine, ce logiciel se transforme en vitrine illicite. Dr Jekyll et Mr Hyde en quelque sorte !

Sur le site web officiel de l’application, on trouve un lien qui permet de télécharger le logiciel sur l’App Store.

Palo Alto Networks, qui a découvert le pot aux roses, décrit avec force détails techniques le fonctionnement de cette app, identifiée sous le nom ZergHelper. Elle ne présente pas à proprement parler de problème de sécurité, mais les applications téléchargées par ce biais peuvent se montrer vulnérables et laisser passer des malwares.

Un incroyable écheveau de chausse-trappes pour tromper la vigilance d’Apple a été mis en place par les créateurs de ZergHelper. L’app exploite les failles des certificats d’entreprise (qui sont au cœur des principales attaques contre iOS). Par le jeu de l’ingénierie inverse, les développeurs ont également reproduit certaines fonctions d’Xcode pour générer des certificats de développement personnel (ils servent à signer les apps iOS) depuis les propres serveurs d’Apple.

À gauche, la vitrine « officielle » de l’application. À droite, elle dévoile son vrai visage : une boutique d’apps piratées.

Sous Windows, la vraie-fausse boutique peut demander l’installation d’un clone d’iTunes pour « authentifier » les applications piratées. Il est même possible de s’identifier au sein de cette boutique illégale avec un faux compte Apple ID, fourni par ZergHelper et dont les chercheurs ignorent la provenance.

Pour éviter qu’une mise à jour de l’application (toutes sont visées par l’équipe de l’App Store) ne dévoile le pot aux roses, les auteurs de ZergHelper ont mis au point une routine en Lua qui passe par un framework wax. Particulièrement complexe à analyser, il permet de mettre à jour dynamiquement des applications en contournant la protection de la révision.

L’interface de ZergHelper, qui évoque celle de l’App Store.

Happy Daily English, alias ZergHelper (ou encore XY Helper une fois installé sur un iPhone), exploite toutes les possibilités disponibles pour tromper son monde. Et c’est ce qui rend cette application aussi dangereuse… Palo Alto Networs a prévenu Apple de l’existence de ZergHelper le 19 février ; l’app a été supprimée le lendemain, mais elle était disponible sur l’App Store depuis le 30 octobre 2015 (il existe également une version pour appareils déplombés qu’on se gardera évidemment d’installer).

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


23 Commentaires

avatar Nico-1971 26/02/2016 - 20:49

C'est un coup du F.B.Aieeeee, c'est sûre ;)

avatar fousfous 26/02/2016 - 20:58via iGeneration pour iOS

Un jour faudra vraiment faire sauter toutes les possibilités d'installer les apps de l'extérieur, dont les certificats d'entreprises.

avatar nayals 26/02/2016 - 22:19via iGeneration pour iOS

@fousfous :
Les grandes entreprises qui ont des applications à usage interne ne veulent évidemment pas publier celles-ci sur le store. Donc il faudrait trouver une solution moins radicale...

avatar warmac33 27/02/2016 - 00:44

@ fousfous
Moi ce qui me gave le plus c'est le droit de vote et la liberté d'expression, faudrait voir à museler tout ça

avatar Domsware 27/02/2016 - 04:00via iGeneration pour iOS

@warmac33 :
Hors sujet complet !

avatar Billytyper2 27/02/2016 - 07:04via iGeneration pour iOS

@Domsware :
Pas vraiment, relis le poste de foufous.

avatar Domsware 27/02/2016 - 10:12via iGeneration pour iOS

@Billytyper2 :
Lu et relu. Et je ne vois toujours pas des atteintes à la liberté d'expression ou autres.

avatar famousneko 26/02/2016 - 21:32via iGeneration pour iOS

@fousfous
Tu perds bcp en flexibilité la quand même...

C'est fascinant n'empêche cette stratégie très sophistiquée. Les dev c'est les ocean's eleven des apps. Ca se trouve ils existent d'autres apps comme ca complètement détourné et dont Apple ne soupçonne pas l'existence

avatar Mickaël Bazoge macG 26/02/2016 - 22:20

C'est vrai que c'est difficile de ne pas être épaté par ces développeurs, même s'ils font ça pour les mauvaises raisons.

avatar Orpioo 27/02/2016 - 08:07

Ils font ça pour leur profit, je ne sais pas si on peut appeler ça des mauvaises raisons.

avatar thebarty 27/02/2016 - 08:31via iGeneration pour iOS

@Orpioo :
Ah, et ce n'est pas mauvais pour les devers dont les applis sont piratées ?

avatar J'en_crois Pas_mes yeux 27/02/2016 - 15:45

@Orpioo & @thebarty
Non ce ne sont pas de "mauvaises raisons"
c'est quoi de "mauvaises" raisons ?
Ce sont des raisons qui ne correspondent pas aux objectifs du sujet.
Ici nous parlerions plus justement de raisons ne correspondant pas à (ta?) (ma?) (notre?) morale.

Mais @Orpioo & @thebarty, nous pinaillons ;-)

avatar marc_os 28/02/2016 - 15:20via iGeneration pour iOS

@Orpioo :
Effectivement. Dans un monde où la loi va autoriser les licenciements boursiers faits par des entreprises qui font des bénéfices... :-(
Le profit égoïste est la règle du CAPITALISME où accumuler du capital au détriment des salariés est le moteur.

avatar wildtiger 26/02/2016 - 22:20via iGeneration pour iOS

Sont forts les Chinois !!

avatar Domsware 26/02/2016 - 23:06via iGeneration pour iOS

C'est fort !
Sans atteindre la protection de Dungeon Master en tout cas ! Les vieux s'en souviendront.

avatar Sokö 27/02/2016 - 08:15via iGeneration pour iOS

Quel est le retour sur investissement ?

avatar ovea 27/02/2016 - 08:56via iGeneration pour iOS

@thebarty :
Pourquoi, si ce sont les pires (dèv) hâtés de l'app à plis qu'il faut repassées derrière pour qu'elle soit utilisable ?

avatar thebarty 27/02/2016 - 10:13via iGeneration pour iOS

@ovea :
Tu fais exprès avec tes posts illisibles ?

avatar Berechit 27/02/2016 - 10:25via iGeneration pour iOS

@thebarty :
Je crois qu'il voulait dire "les développeurs"... Son doigt à dû glisser et le correcteur à fait le reste :)

avatar Mathias10 27/02/2016 - 17:45via iGeneration pour iOS

@ovea :
Écris en bon français (c'est à dire sans ton correcteur qui semble te jouer des tours )

avatar Ultranova 27/02/2016 - 09:41

@Mickael

On parle bien du vol manifeste des achats in-app là, non ?

Ok, je file.

avatar Ken-de-barbie 27/02/2016 - 16:30

Comme quoi la boutique d' apple n' est pas si inviolable que ça, je ne sait si le comble est que ce soit un labo indépendant de la pomme qui s' en aperçoive ou que pendant 5 mois cette appli est resté sur le store ….

avatar Jean-Jacques Cortes 28/02/2016 - 13:34

@Domsware
C'est vrai que Dungeon Master était sacrément bien protégé contre la copie pirate. Le seul jeu que je n'ai pas réussi à déplomber.