XcodeGhost : la liste des applications infectées par le malware s'allonge,
L'entreprise de sécurité Lookout donne des recommandations

Le , par Olivier Famien, Chroniqueur Actualités
Faisant suite à la détection du malware XcodeGhost sur la plateforme iOS, Apple a procédé à un nettoyage de son App Store et a donné dans la foulée plusieurs indications aux développeurs afin de vérifier l’identité de leurs copies de Xcode.

Ainsi en exécutant certaines commandes, il est possible pour chaque développeur de savoir si la version de Xcode utilisée pour compiler son application est authentique ou a subi des modifications non autorisées.

Le malware ayant été démasqué et les développeurs pouvant effectuer des contrôles pour vérifier l’authenticité de leurs applications, l’heure est maintenant à l’inventaire des dégâts sur la plateforme iOS.

Dès les premières heures de la découverte de l’infection, les chiffres ne donnaient que cinq applications infectées sur la plateforme d’applications iOS. La firme de sécurité Palo Alto a allongé sa liste à 39 applications au lendemain de l’infection.

Mais au fil des jours, le nombre d’applications touchées par ce malware n’a cessé de croitre. Aussi, l’entreprise de sécurité Lookout a dressé sa liste personnelle recensant les applications infectées. Dans cette liste, on peut retrouver les applications :

  • Crazy Fishing Saga, Crazy Fish 2, Pop owls, Candy Crazy Fish
  • Sea Diamond, Fishing Ares, Pet Forest-crazy, Multi Attach Mail
  • CamCard Business, CamScanner Free, CamScanner +, CamScanner Pro
  • WeChat, WinZip, OPlayer HD Lite, LifeSmart, 10000+ Wallpapers
  • Magic Likes Liker for Istagram, Maya Mysterious, Device Tracker for iPhone iPad
  • Free Calls Text, Beauty Salon Monster Girls Makeover, Crazy Bubble OL, MyChevy
  • MyChevy, Excavator Stunt 2015, Parking 3D, Little Miss Party Girls, Foscam, Celebrity Fashion Stylist Salon


Comme le precise Lookout, cette liste n’est pas exhaustive. D’autres sources auraient ajouté les applications suivantes :

  • Mercury, WinZip, Musical.ly, PDFReader, guaji_gangtai
  • Perfect365, PDF Reader Free, WhiteTile, IHexin
  • Winzip Satndard, More Likers 2, Mobile Ticket,
  • iVMS-4500, QYER, golfsense, installer, golfsensehd
  • Wallpapers10000, CSMBP-AppStore, MSL108, ChinaUnicom3.x
  • TinyDeal.com, Snapgrab Copy, iOBD2, PocketScanner, CuteCUT
  • AmHexinForPad, SuperJewelsQuest2, air2, InstaFollower, baba
  • WeLoop, DataMonitor, MSL070, Nice dev, immtdchs, FlappyCircle
  • BiaoQingBao, SaveSnap, Guitar Master, jin, Winzip Sector, Quick Save


En marge de la liste dressée par Lookout, l’entreprise de sécurité a également apporté des recommandations préventives afin de limiter l’infection le cas échéant.

Ainsi, si vous avez installé une application parmi celles qui ont été listées ou d’autres reconnues comme malicieuses, Lookout recommande d’effectuer la mise à jour vers la version la plus récente. À défaut de mise à jour disponible, il est demandé de procéder à la suppression de l’application.

Également, si une application compilée avec XcodeGhost tourne sur votre téléphone, il est recommandé de changer le mot de passe principal Apple ID et d'être très méfiant pour toutes notifications et tous mails suspects demandant vos informations personnelles.

En outre, Lookout demande d’être très vigilant face aux boites de dialogue des applications demandant des informations personnelles sans pour autant savoir qui est à l'origine de l’affichage de cette boite.

Enfin, si vous avez utilisé votre mot de passe Apple ID sur d’autres comptes, il est recommandé de changer le mot de passe de ces comptes.

Source : Lookout

Et vous ?

Trouvez-vous la liste d’applications infectées utile ?

Que pensez-vous de ces recommandations ?

Voir aussi
Forum Apple


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de grunk grunk - Modérateur https://www.developpez.com
le 25/09/2015 à 8:20
C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^
Avatar de qvignaud qvignaud - Membre habitué https://www.developpez.com
le 25/09/2015 à 15:46
Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 05/11/2015 à 19:58
De nombreuses entreprises utilisent encore des applications infectées par XcodeGhost,
selon une analyse de FireEye

En septembre dernier, des hackers ont mis sur pied une version modifiée de l’EDI Xcode qui embarquait le malware XcodeGhost, lequel a été diffusé par la suite auprès des développeurs d’applications Mac OS X et iOS, infectant ainsi les projets légitimes.

Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, avait avancé que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

De nombreuses applications se sont vues infecter, touchant ainsi des centaines de millions d’utilisateurs. Parmi elles figuraient des applications populaires comme WinZip, CamScanner Pro (qui permet de scanner des cartes de visite pour préremplir les fiches de contact), mais également WeChat (qui revendique près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5.

Au vu de l’ampleur des dégâts, Apple a été forcé de réagir. Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». De leur côté, les éditeurs ont proposé aux utilisateurs de télécharger un correctif.

Pourtant, la menace XcodeGhost plane encore. Dans un billet, les chercheurs de l’expert en sécurité FireEye ont avancé qu’une nouvelle version de XcodeGhost baptisée XcodeGhost S a été développée et peut également toucher la plateforme iOS 9.

Avec iOS 9, Apple a introduit NSAppTransportSecurity afin d’améliorer la sécurité de la connexion serveur client. Par défaut, seules les connexions sécurisées sont autorisées sur iOS 9. C’est à cause de cette limitation que les versions précédentes de XcodeGhost n’arrivaient pas à se connecter au serveur C&C en utilisant HTTP. Cependant, Apple a également permis aux développeurs d’ajouter des exceptions (NSAllowsArbitraryLoads) depuis Info.plist pour autoriser les connexions HTTP. L’échantillon XcodeGhost S qui a été récupéré par les chercheurs lit le paramètre NSAllowsArbitraryLoads au niveau de l’entrée NSAppTransportSecurity dans Info.plist puis choisit des serveurs C&C différents en fonction de ce paramètre.


« Après avoir surveillé les activités liées à XcodeGhost pendant quatre semaines, nous avons remarqué que 210 entreprises avaient des applications infectées par XcodeGhost dans leur réseau, ce qui a généré plus de 28 000 tentatives de connexion avec les serveurs C&C de XcodeGhost », ont expliqué les chercheurs. Ci-dessous, les cinq pays avec lesquels XcodeGhost a tenté une connexion.


En tête figure l’Allemagne avec 62 pour cent des tentatives, suivi par les États-Unis qui ont enregistré 33 pour cent des tentatives. La France vient en troisième position avec 3 pour cent des tentatives, bien loin derrière les deux premiers.

Les chercheurs se sont également intéressés aux types d’industries qui étaient visés par les attaques. Avec plus de la moitié des infections (65 pour cent), c’est principalement le secteur de l’éducation qui a été la cible de ce logiciel malveillant. Le secteur technologique vient en second avec 13 pour cent des attaques.



Ils ont constaté que le trafic C&C de XcodeGhost peut être détourné pour :

  • distribuer des applications en dehors de l’App Store ;
  • forcer l’ouverture d’une l'URL ;
  • promouvoir énergiquement toute application dans l'App Store en lançant directement la page de téléchargement ;
  • exécuter des fenêtres de type pop-up pour amorcer une attaque par hameçonnage.


Source : FireEye

 
Contacter le responsable de la rubrique Accueil