Le chercheur en sécurité Axelle Apvrille a récemment publié un article sur AdThief, un malware visant à détourner les revenus des publicités sur plus de 75.000 appareils Apple.
Découvert en mars 2014, le malware Adthief est un logiciel malveillant déguisé comme une extension de Cydia Substrate qui remplace l’iD de l’éditeur dans les applications iPhone et iPad afin de détourner les revenus générés par par la publicité dans ces applications.
Le créateur du malware Adthief a été en mesure de détourner environ 22 millions de dollars de recettes d’annonces publicitaires. En effet, lorsque l’on clique sur une annonce, un utilisateur infecté générerait des recettes publicitaires pour le créateur du malware Adthief plutôt que pour le développeur de l’application ou site web.
Le malware Adthief atteint plus de 75.000 appareils jailbreakés
Le logiciel malveillant a été conçu pour cibler les kits d’annonces à partir de 15 réseaux de publicité, y compris ceux appartenant à Google AdMob et Google Mobile Ads, les deux plus grands représentants de la publicité sur appareil mobile aux États-Unis.Les autres sociétés américaines visées par AdThief sont AdWhirl, MdotM et MobClick. Les réseaux publicitaires ciblées restants provenaient tous de Chine ou de l’Inde.
C’est grâce aux informations de débogage qui ont été laissées par le code du malware que le chercheur en sécurité a été en mesure de traquer le créateur du malware Adtheif identifié sous le pseudo Rover12421, un hacker chinois spécialisé dans les plates-formes mobiles. Le hacker a admis avoir travailler au développement de ce malware mais mais nie avoir participé à l’élaboration du code final ou même faire partie de la propagation du malware Adthief.
On ne sait pas exactement comment cette extension Cydia Substrate a atterri sur les iPhone et iPad jailbreakés, la première supposition est que Adthief est propagé par des sources ou repository d’origine douteuse installé dans Cydia par les utilisateurs.
Edit : Pour savoir si votre appareil est affecté, il vous faut installer ifile et vérifier que dans le dossier /Library/MobileSubstrate/DynamicLibraries/ et contrôler qu’aucun fichier nommé spad.dylib ou spad.plist ne soit présent. Merci à Louis pour cette information 😉
Jusqu’à présent, il n’existe aucun moyen connu pour savoir si vous avez été affecté et comme toujours les utilisateurs rajoutant des sources pirates sont plus susceptibles d’être touchés que d’autres. En avril dernier un autre malware nommé Unflod, ciblant les appareils jailbreaké, a été trouvé pour capturer l’identifiant iD Apple et son mot de passe sur les appareils infectés afin de les envoyer à une adresse IP chinoise.
Parce que nous avons que peu connu d’informations sur AdThief, je ne peux que vous mettre en garde sur les sources que vous rajoutez et aux paquets que vous téléchargez, privilégiez toujours les sources officielles.
