AceDeceiver : le malware capable d’infecter n’importe quel iPhone

Les utilisateurs d’Apple considèrent en général que leurs iPhones sont comme des forteresses impénétrables, spécialement conçus pour eux. Les iPhones sont connus pour être sûrs et fiables, tout particulièrement lorsqu’il s’agit de les comparer à des dispositifs Android. En effet, les iPhones sont réellement plus sûrs que les téléphones Android, néanmoins cela ne veut pas dire qu’ils le soient totalement. Vous savez, toute forteresse peut être conquise.

Nous avions déjà détecté non pas un mais plusieurs vilaines menaces iOS et donné quelques conseils concernant la sécurité de vos appareils Apple. Néanmoins, le malware iOS ne cesse de se propager, l’échantillon le plus récent découvert par Palo Alto Networks semble être de loin un des plus dangereux.

Pourquoi ? Parce que votre Iphone n’a pas besoin ni d’être débridé ni d’utiliser un certificat d’entreprise volé pour installer un logiciel malveillant. Cette nouvelle famille de malware se nomme AceDeceiver, capable d’infecter n’importe quel dispositif iOS.

De bonnes intentions

Tout a commencé avec l’idée novatrice de ne pas payer pour ce qu’on veut obtenir. Dans ce cas précis, une méthode a été créée dans le but de pirater les applications iOS, appelée l’attaque de l’homme du milieu du FairPlay. Nous ne nous attarderons pas plus sur l’explication du concept des attaques de l’homme du milieu dans la mesure où vous pouvez retrouver un de nos articles précédents à ce sujet en cliquant ici. Dans ce post, nous nous concentrerons davantage sur ce qu’est FairPlay et de quelle façon AceDeceiver procède.

Trojan Exploits Apple DRM Flaw, Plants #Malware On Non-Jailbroken #iOS Devices: https://t.co/n5MHIRbOn7 pic.twitter.com/SluytGnjmJ

— Kaspersky Lab (@kaspersky) March 16, 2016

FairPlay est la protection de la gestion numérique des droits qu’utilise Apple pour la musique et les vidéos de même que pour les applications iOS. Comme vous devez sans doute le savoir, les utilisateurs d’iPhone peuvent acheter des applis sur l’espace client d’iTunes de leur ordinateur et ensuite les transférer sur leur mobile. Bien entendu, ce processus requière des preuves comme quoi le propre utilisateur a bien acheté l’appli. Cette preuve est fournie via un code d’autorisation généré par iTunes pour chaque application.

Le problème est que le code est le même pour n’importe quelle application. Et si on réussit à l’intercepter une fois, on peut l’utiliser pour installer la même appli sur un nombre innombrable d’iPhones et d’iPads. Grosso modo, voici comment l’attaque de l’homme du milieu du FairPlay fonctionne.

L’application aux deux visages

Finalement, la méthode a évolué au point de créer toute une application piratée de l’App Store. Elle a été conçue sur un programme de Windows appelé Aisi Helper qui était à l’origine utilisé pour débrider des iPhones, sauvegarder des données et réinstaller l’iOS. Une nouvelle fonction a été par la suite ajoutée à l’outil, en l’introduisant à une application du même nom sur n’importe quel iPhone connecté à un ordinateur avec l’Aisi Helper installé. Cette application serait capable de déployer de nombreuses applications piratées et dont les utilisateurs pourraient la télécharger gratuitement.

10 tips to make your #iPhone even more secure http://t.co/FBaWOZY5W5 #security #privacy

— Kaspersky Lab (@kaspersky) September 30, 2014

Curieusement, cette application Aisi Helper a été installée sur les iPhones en utilisant la même technique de l’homme du milieu du FairPlay. C’est pour cette raison que pour introduire Aisi Helper sur les iPhones, les créateurs de l’appli avaient besoin de la télécharger sur l’App Store en premier, afin d’obtenir le code d’authentification légitime pour ce genre d’appli. Le problème est qu’Apple n’apprécie pas vraiment le fait qu’il existe des applications piratées sur l’App Store.

Afin de manipuler les évaluateurs du code, Aisi Helper prétendait être une application de fonds d’écran, en apparence inoffensive et sans grand intérêt. Pour s’assurer que personne ne les démasque, les coupables utilisent une double ruse. D’une part, ils ont publié des versions de cette application uniquement dans les App Stores des Etats-Unis et du Royaume-Uni, hors de portée des utilisateurs chinois. D’autre part, lorsqu’ils ont lancé cette application pour la première fois, cette dernière vérifiait l’emplacement du téléphone et si elle n’était pas en Chine, elle montrait uniquement des fonds d’écran (et elle en a fait du chemin depuis).

Par conséquent, on en déduit que pour accéder à la véritable interface piratée du code de l’Apple Store US les évaluateurs tout comme les utilisateurs doivent se trouver en Chine, ce qui paraît peu probable. C’est pour cette raison d’ailleurs que personne n’a encore remarqué que cette appli est en réalité bien plus que de simples fonds d’écran.

Chinese Mobile Ad Library Backdoored to Spy on iOS Devices: https://t.co/1kpMrH8HJC via @thretapost pic.twitter.com/0I1RTUEWln

— Kaspersky Lab (@kaspersky) November 4, 2015

A l’heure qu’il est Apple a supprimé toutes les versions de l’application Aisi Helper de l’App Store. Ce qui ne veut pas dire que le malware est en voie de disparition, au contraire. Pas obligé d’avoir une application dans l’App Store pour pouvoir exécuter l’attaque de l’homme au milieu du FairPlay étant donné qu’elle a déjà été conçue, comme c’est le cas pour les applications des fonds d’écran / piratées d’Aisi Helpers.

Le jeu déloyal

Quels sont donc les problèmes d’une application piratée hormis les questions morales et juridiques ? Et bien, si quelqu’un vous raconte une histoire du genre : « Je l’ai volé et désormais je vous le donne gratuitement », ne le croyez surtout pas. Jamais. Il y a 99% de chance pour qu’on vous mène en bateau.

Et c’est exactement la même chose qui se passe avec cette application. Ces applis se sont montrées inoffensives pour leurs utilisateurs pendant un certain temps. Mais au bout du compte, elles ont fini par demander aux utilisateurs de saisir leurs identifiants Apple et mots de passe « pour plus de fonctionnalités ». Ce après quoi, les données étaient téléchargées dans le serveur de commande d’AceDeceiver.

7 #iPhone Apps for your Security http://t.co/lFNTv8RxLM #FindMyiPhone #iOS

— Kaspersky Lab (@kaspersky) April 21, 2014

Je pense désormais que ça parait plus clair qu’on traite d’AceDeceiver sur Kaspersky Daily. La faille de sécurité de FairPlay n’est toujours pas corrigée et même si c’était le cas, l’ancienne version OS resterait sans doute vulnérable à une telle attaque.

D’accord, comment dois-je me protéger ?

La bonne nouvelle est que cette attaque en particulier ne cible pas les personnes hors de la Chine. La mauvaise nouvelle est qu’il est plus facile pour les hackers d’exploiter cette vulnérabilité et de créer de nouveaux malwares qui viseraient d’autres pays et feraient encore plus de dégâts. Peu importe que vous viviez en Chine ou ailleurs, il est important que vous suiviez les consignes suivantes :

1. N’essayez pas de débrider votre iPhone. Ce n’est pas une pratique sure, et comme vous avez pu le voir, le logiciel requis pour exécuter cette opération ne l’est pas non plus.

Tips: Never root or jailbreak your device, only use official app market, read user review #relentless #obsession #mobile #kaspersky

— Kaspersky Lab (@kaspersky) July 22, 2013

2. Nous avons toujours préconisé de suivre cette consigne concernant Google Play, et il semblerait qu’elle soit aussi valable pour l’App Store : faites attention aux applications que vous installez : les créateurs d’AceDeceiver ont démontré que les révisions des codes d’Apple peuvent être contournées par le biais de certaines ruses. Malheureusement, le logiciel antivirus n’est pas compatible avec l’ iOS, ce qui veut dire qu’une fois le malware à l’intérieur, il est trop tard pour agir.
3. Heureusement pour vous, vous pouvez protéger vos autres dispositifs. Assurez-vous d’être en possession de solutions de sécurité efficaces où que vous soyez. Dans ce cas, un logiciel antivirus sur votre ordinateur aurait détecté Aisi Helper comme un AceDeceiver malveillant.