Une quarantaine d’applications pour iPhone et iPad, la plupart développées pour la Chine, ont été infectées par un nouveau malware appelé XcodeGhost qui recueille de nombreuses données privées.
Parmi celles-ci se trouve WeChat, l’une des applications de messagerie instantannée les plus populaires dans le monde.
Plutôt que d’exploiter une vulnérabilité dans le système d’exploitation iOS, le malware XcodeGhost s’invite indirectement dans des applications officielles d’Apple.
« Le code du malware a été retrouvé dans un fichier généré dans certaines versions de Xcode, le logiciel de développement officiel pour les applications iOS et OS X. Ce cheval de troie a ensuite été téléchargé sur le service de partage de fichiers dans les nuages de Baidu utilisé par les développeurs d’applications chinois », explique le site Palo Alto Networks qui fournit la liste des applications infectées.
Le code malveillant s’insère ensuite dans les applications compilées avec le logiciel Xcode infecté à l’insu des développeurs. Cette erreur ne serait pas arrivée si les fichiers avaient été téléchargés directement depuis Xcode d’Apple.
Depuis Baidu a retiré tous les fichiers infectés de ses serveurs et quelques-unes des applications infectées ont déjà été corrigées dans leur dernière version. XcodeGhost est le sixième logiciel malveillant qui ont infecté les applications via l’App Store officiel après LBTM, InstaStock, FindAndCall, Jekyll et FakeTor.
Le malware XcodeGhost n’est pas particulièrement dommageable mais il permet collecter les données suivantes sur les appareils des utilisateurs :
- l’heure actuelle
- le nom de l’application infectée
- l’identifiant du paquet de l’application
- le nom et le type de dispositif de courant
- la langue et le pays de système installé
- l’UUID de l’appareil infecté
- le type de réseau
Alors la question que tout le monde se pose est « mais pourquoi un développeur iOS téléchargerait des fichiers Xcode d’une source non officielle ? ». La faute revient tout simplement au faible débit de téléchargement en Chine et dans d’autres endroits dans le monde.
« Parfois, la vitesse du réseau est très faible lors du téléchargement de gros fichiers à partir des serveurs d’Apple et comme le programme d’installation de Xcode fait plus de 3 Go, certains développeurs chinois choisissent de télécharger le package à partir d’autres sources ou d’obtenir des copies de ses collègues. »
Alors que la version 6.2.5 de l’application WeChat 6.2.5 a été constatée comme infectée, son développeur a depuis supprimé le code malveillant avec la version 6.2.6 .
Tout compte fait, c’est pas moins de 39 applications iOS qui ont été infectées dont certaines sont extrêmement populaire en Chine et dans d’autres pays à travers le monde et ont été téléchargées par des centaines de millions d’utilisateurs.
Le malware a été injecté dans des applications de messagerie instantanée, de banque, de logiciels de cartographie, de négociation d’actions et de jeux. A l’exception de WeChat, la quasi-totalité des applications infectées sont dévelopées en Chine.
