AceDeceiver, un nouveau mécanisme d'infection sur iOS

Mickaël Bazoge |

Les pendards ne manquent jamais d’imagination quand il s’agit d’infecter un iPhone. La dernière attaque en date, qui touche le marché chinois, est dans son genre assez redoutable. AceDeceiver, repéré par Palo Alto Research, peut gangrener un appareil iOS non jailbreaké et sans certificat d’entreprise (une technique classique), en utilisant une attaque "man in the middle" sophistiquée.

Le site web d’Aisi Helper — Cliquer pour agrandir

AceDeceiver exploite un mécanisme lié au DRM FairPlay qu’Apple injecte dans chacune des applications distribuées sur l’App Store. Cette technique, baptisée FairPlay Man in the middle (FairPlay MITM), est utilisée depuis 2013 et elle permet d’installer des applications piratées… Et depuis peu, elle distribue aussi des malwares !

FairPlay MITM implique l’installation d’apps depuis un PC, au travers d’un logiciel tiers, Aisi Helper, qui contourne iTunes. Il propose des services comme la restauration d’iOS, le jailbreak, la sauvegarde des données de l’appareil, la gestion de flotte ou encore le « nettoyage » du système.

Mais la principale fonction d’Aisi Helper est de « tromper » l’iPhone en lui faisant croire que telle application a été achetée et téléchargée sur l’App Store, et qu’il peut l’installer. Le coupe-jarret a en fait récupéré le code d’autorisation qui permet à une application de s’installer sur un terminal iOS. L’utilisateur peut alors récupérer des apps qu’il n’a jamais acquises légalement, tandis qu’un développeur mal intentionné peut par ce biais déployer des logiciels infectés s’installant sur l’iPhone sans que l’utilisateur en ait conscience.

Cliquer pour agrandir

D’après le décompte de Palo Alto Research, la « famille » AceDeceiver comprend trois applications iOS infectées — maquillées en fournisseurs de fonds d’écran — qui ont été mises en ligne sur l’App Store officiel entre juillet 2015 et février 2016. Apple a donné son feu vert à ces trois apps au moins sept fois : trois fois pour les valider, quatre fois pour autoriser des mises à jour.

Une des trois applications infectées — Cliquer pour agrandir

Comment est-ce possible ? Les brigands ont utilisé une technique similaire à celle de ZergHelper, qui a récemment défrayé la chronique (lire : ZergHelper : une boutique d’apps piratées à télécharger sur l’App Store) : le comportement malveillant ne se déclenche que sur certains marchés, en l’occurrence le chinois. Ces trois apps offrent un accès vers un App Store alternatif contrôlé par les brigands, sur lequel on peut télécharger des apps et des jeux craqués. Cette boutique encourage évidemment les utilisateurs à entrer leurs identifiant et mot de passe Apple.

En dehors de la Chine, voici à quoi ressemble une des applications malveillantes.

Apple a supprimé ces applications lorsque les chercheurs en sécurité ont prévenu l’entreprise le mois dernier, mais c’est trop tard : il a suffi que ces applications soient passées sans encombre sous les fourches caudines d’Apple au moins une fois pour qu’elles puissent continuer à se déployer ensuite. Les malandrins n’ont besoin que d’une copie du code d’autorisation fourni par Apple, la présence sur l’App Store étant secondaire. Une fois ce code en leur possession, les apps infectées peuvent continuer à s’installer via Aisi Helper.

La boutique alternative sur iOS, et l’« invitation » à entrer ses identifiant et mot de passe — Cliquer pour agrandir

AceDeceiver nécessite donc l’installation d’un client tiers sur son PC, ce qui éveille immanquablement le soupçon pour les utilisateurs aguerris. Mais face à des possesseurs d’iPhone qui ne connaissent pas forcément le mode de fonctionnement d’iTunes, cet obstacle peut être levé sans trop de difficulté.

Les chercheurs en sécurité rappellent à plusieurs reprises qu’AceDeceiver touche les utilisateurs chinois, mais le mécanisme pourrait un jour frapper d’autres marchés selon les intérêts des canailles responsables des malwares. Et Apple pourrait rencontrer quelques difficultés pour bloquer ce type d’attaque — le plus simple pour se protéger étant de toutes manières d’en passer uniquement par les outils officiels, iTunes et l’App Store.

avatar nova313 | 

Je sens qu'avec ce déclenchement du changement de fonctionnement de l'app en fonction du pays, va obligé Apple a vérifié l'app sur tous les stores, et que les délais de validation vont considérablement s'allonger.

avatar C1rc3@0rc | 

A part l'utilisation assez ancienne du DRM, il s'agit d'une tres classique utilisation d'une attaque MiM. De plus il faut passer par un PC surlequel on installe au prealable une application douteuse qui se subsitue a iTunes...

En gros cela concerne les gens qui piratent des applications et qui ne jailbreakent pas leur iPhone.
Ce concerne donc une tres petite minorité.

Apple n'a qu'a bloquer la communication avec tout ce qui n'est pas iTunes et le probleme est regle.

Franchement a part l'exploitation de la DRM, qui on le voit pose un grave probleme de securite en plus de tous les autres, il s'agit la d'une approche aussi primitive qui compliqué pour une cible tres restreinte...

avatar Billytyper2 | 

Si on a une pomme et que l'on n'y connaît pas grand chose, le mieux c'est de rester dans les clous Apple...c'est plus sécuritaire .

avatar nicoplanet | 

Sacrés détrousseurs.....

avatar r e m y | 

Ah les gredins!!! les ladres!!!

avatar bompi | 

Faut quand même que l'utilisateur y mette du sien et se complique un peu la vie pour se faire couillonner.

avatar Sokö | 

Les chenapans.

avatar iVador | 

Sacres coupe-jarrets !

avatar blazouf | 

De vrais rufians bien retords ces margoulins ! :D

avatar False | 

oh les coquins de maquereaux !

avatar Ast2001 | 

Que prévoit-on pour contrer ces scélérats ?

avatar blazouf | 

Rhhaaa.. Les vils maraud ! Les paltoquets de bas étage ! j'enrage !

avatar BigMonster | 

Grrr, les sacripants, les truands, les crapules, les filous, les canailles, les bandits, les forbans, les scélérats, les fourbes, les perfides, les gredins, les fripons…

avatar powergeek | 

Saperlipopette !

avatar Kensei68 | 

Bande de vils flibustiers !

avatar PierreRMX | 

On se croirait dans une pièce de Molière ^^

avatar françois bayrou | 

"pendards" !! j'adooore !

avatar bugman | 

L'article où l'on sort tous Antidote ! :)

avatar lamainfroide | 

Pour "pendards" j'applaudis des deux mains.
Par contre, "brigands" deux fois dans le même paragraphe...
Quelle déception.

avatar inumerix | 

Ah les margoulins !
Personne l'a dit celui là.

avatar inumerix | 

Ah si désolé.

avatar bugman | 

Petits canailloux !

avatar scanmb | 

Bachis bouzouks !!!

avatar scanmb | 

Marins d'eau douce !!!

avatar scanmb | 

Sapajous que ceux-là !

avatar BigMonster | 

Sercopithèques ! Cloportes ! Bougres d'olibrius ! Scolopendres ! Gibier de potence !
Troglodytes ! Jocrisses ! Moules à gaufres ! Ectoplasmes !

Et… j'en n'ai plus d'autres, mille millards de mille sabords de tonnerre de Brest !
Que le grand cric me croque…

avatar Berechit | 

@BigMonster :
Et bachi-bouzouk ???
Antidote ne sert à rien lorsque la passion tintinopihile vient compléter le vocabulaire de notre chroniqueur !

avatar BigMonster | 

@Berechit

Bin oui, bien sûr, mais déjà cité, tout simplement (3 posts + ô)…

avatar lecapotar | 

Nom de Dieu de bordel de putes à cul, faut pas se faire prendre pour un chinois par ces célestes !

avatar Ultranova | 

Ah, les Faquins !

CONNEXION UTILISATEUR