75 000 appareils iOS débridés infectés par le programme malveillant AdThief

Une forme relativement récente de programme malveillant sous iOS aurait voler les revenus générer par 22 millions de publicités et infectés jusqu’à présente près de 75 000 appareils.

Le programme malveillant iOS/AdThief a été identifié pour la première fois au mois de mars, mais il aura fallu attendre qu’Axelle Aprville, chercheur chez Fortinet, se penche davantage sur le programme malveillant pour voir la publication d’un bulletin d’étude de virus (.PDF) la semaine dernière et bien comprendre la menace.

Connu également sous le nom de Spad, ce programme malveillant emprunte un identifiant de développeur dont la fonction première est d’indiquer aux développeurs lorsqu’un visiteur affiche leurs publicités ou cliquent sur celles-ci, ce qui génère les revenus. Dans le cas du programme malveillant, les appareils infectés détournent ces petites sommes et les envoient au pirate.

Le programme malveillant, rencontré pour l’instant uniquement sur les appareils débridés, utilise Cydia Substrate, une plateforme de développement de plug-ins tiers pour iOS, afin d’exécuter ses opérations.

“[Cydia] fournit une API pour s’accrocher aux fonctions légitimes et vous pouvez ajouter vos propres modifications. C’est exactement ce que fait ce programme malveillant : il se connecte à différentes fonctions de publicité et modifier l’identifiant du développeur" écrit Axelle Aprville.

Au total, le programme malveillant tire ses revenus de 15 kits publicitaires différents. Bien qu’ils soient chinois dans la grande majorité, quatre sont établis aux Etats-Unis (dont AdMob de Google) et deux en Inde.

  • AderMob (CHINE)
  • AdMob and Google Mobile Ads (USA)
  • AdsMogo (CHINE)
  • AdSage/MobiSage (CHINE)
  • AdWhirl (USA)
  • Domob (CHINE)
  • GuoHeAD (CHINE)
  • InMobi (INDE)
  • Komli Mobile (INDE)
  • MdotM (USA)
  • MobClick (USA)
  • UMeng (CHINE)
  • Vpon (CHINE)
  • Weibo (CHINE)
  • YouMi (CHINE)

D’après Axelle Aprville, une erreur du pirate qui n’a pas masqué les informations de débogage du programme malveillant a permis aux chercheurs de voir exactement les kits qui étaient compromis.

Une enquête sur le créateur (Rover12421) du programme malveillantš a indiqué qu’il affirme qu’il a créé une partie du code "il y a quelques temps", qu’il s’agit de son seul projet pour iOS et qu’il nie avoir propagé ce programme malveillant.

Comme nous l’avons mentionné, AdThief fut découvert au mois de mars par le chercheur en sécurité chinois Claud Xiao. Il avait publié un billet sur son blog à l’occasion : “New iOS malware use Cydia Substrate to steal advertisement promotion fee.” (un nouveau programme malveillant pour iOS utilise Cydia Substrate pour voler les revenus des publicités). Le bulletin de la semaine dernière élabore sur ce billet, organise les informations fournies par Claud Xiao et fournit plusieurs explications.

Cette information est dévoilée après les révélations du mois de juin sur le logiciel espion légitime Remote Control System (RCS) développé par HackingTeam et suit également les divulgations sur la possibilité pour une poignée de modules malveillants mobiles, dont un cheval de Troie, d’espionner l’activité d’appareils iOS.

A l’instar d’AdThief, le module iOS d’HackingTeam fonctionne uniquement lorsque les utilisateurs débrident leur appareil afin de pouvoir utiliser des applications tierces.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *