XcodeGhost, le malware était entre la chaise et l’iPhone
Malware malin pour développeur crétin
C’est Paloalto Networks qui a révélé cette vilaine affaire et a remonté la piste de ce malware malin. Plusieurs versions de Xcode ont ainsi été proposées, depuis près de 6 mois pour les plus anciennes. Ces versions de Xcode (nommées XcodeGhost par les chercheurs) ajoutent des ressources à l’original, qui injectent le malware lorsque le développeur compile son application. il fallait y penser.
[[Les ressources ajoutées sont les suivantes :
- Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
- Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework/
- Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
- Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework/
- Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
- Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework]]
Dès qu’une application infectée est installée, le malware récupère quelques informations qu’il chiffre et envoie à un serveur.
- heure
- application source et identifiant de celle-ci
- type de d’appareil iOS, et nom de celui-ci
- Langue et Pays
- UDID
- Réseau connecté
Il peut également ouvrir une fenêtre popup, d’apparence légitime, invitant à saisir le mot de passe de son compte Apple, ou lancer certaines pages web. Les circonstances d’apparition de ces deux derniers éléments ne sont pas encore claires.
Le ménage tardif
Parmi les applications concernées, qui pour l’heure n’ont été mises en évidence que sur l’App Store chinois, on trouve certaines applications populaires comme WeChat ou CamCard, ainsi que des applications plus spécifiquement destinées au marché chinois.
Dimanche, Apple confirmait avoir détecté ce malware, et expliquait avoir supprimé les applications concernées. «Le code a été publié par une source non digne de confiance. Pour protéger nos clients, nous avons supprimé de l’App Store les appplications que nous avons avoir été créées avec ces versions modifiées de Xcode», a précisé Christine Monaghan, une porte-parole d’Apple.