XcodeGhost

XcodeGhost et sa déclinaison XCodeGhost S sont des versions modifiées de l'environnement de développement Xcode d'Apple identifiés comme étant des logiciels malveillants.

Le logiciel s'est fait connaître mondialement en septembre 2015 à la suite de la découverte de nombreuses applications d'origine chinoise contenant du code malveillant. Selon la BBC, il s'agit de l'attaque la plus importante jamais enregistrée contre l'App Store. L'infection a été identifiée pour la première fois par des chercheurs de l'entreprise chinoise Alibaba, spécialiste de la vente en ligne. Plus de 4 000 applications mobiles présentes sur la plateforme de téléchargement d'Apple se sont révélées être infectées, selon la firme de sécurité informatique américaine FireEye - démentant le chiffre de 25 applications initialement révélé par Apple - dont certaines provenaient de sources extérieures à la Chine.

D'après l'entreprise de sécurité américaine Palo Alto Networks, la lenteur des connexions à Internet en Chine serait à l'origine de la distribution de la main à la main de copies vérolées de Xcode récupérées sur des sites chinois.

Deux mois après sa découverte, FireEye signalait que des centaines d'entreprises continuaient à utiliser XCodeGhost et que ce dernier constituait toujours un risque majeur pour la sécurité des terminaux. Toujours d'après FireEye, des applications de messagerie instantanée populaires telles que WeChat et l'application musicale de NetEase Music 163 étaient infectées.

Découverte[modifier | modifier le code]

Le 16 septembre 2015, un développeur iOS basé en Chine posta une première alerte sur le site de microblogging chinois Sina Weibo concernant un malware présent dans Xcode qui injectait du code arbitraire dans les applications lors de leur compilation. Les chercheurs d'Alibaba ont ensuite publié une information détaillée du malware et le baptisèrent XCodeGhost.

Le lendemain, Palo Alto Networks publia plusieurs rapports concernant le malware.

Aspects techniques[modifier | modifier le code]

Cible[modifier | modifier le code]

Les pirates à l'origine de XCodeGhost ont utilisé une porte dérobée injectée à la compilation. La grande nouveauté de cette attaque était sa cible, bien qu'une première alerte avait été lancée par Edward Snowden concernant une version du compilateur de Xcode modifiée par des chercheurs en sécurité des Laboratoires Sandia dans le même objectif.

Fichiers corrompus[modifier | modifier le code]

La version connue de XCodeGhost contient des fichiers supplémentaires par rapport à la version officielle qui viennent compromettre les bibliothèques de base de nombreux services à la fois sur iOS et OS X. De plus, l'éditeur de liens du compilateur a été modifié afin d'injecter le code malveillant dans les applications sans qu'il en soit fait mention dans l'interface utilisateur de Xcode, bien que ces modifications apparaissent dans les logs de la compilation.

Comportement des applications infectées[modifier | modifier le code]

Prise de contrôle à distance[modifier | modifier le code]

XCodeGhost permet la prise en main à distance des terminaux infectés grâce à des lignes de commandes lancées par le serveur d'un botnet via le protocole HTTP. Ces communications sont chiffrées grâce à l'algorithme DES en mode ECB.

Vol de données[modifier | modifier le code]

Au lancement d'une application infectée, le malware collecte des informations concernant le terminal, telles que :

La date et l'heure locale
Le nom de l'application infectée
L'identifiant du paquetage de l'application
Le nom de l'appareil et son modèle
La langue utilisée par le système
Le Universal Unique Identifier (UUID) de l'appareil
Le type de réseaux sur lequel l'appareil peut se connecter

Le malware envoie ensuite ces informations sous forme cryptée au serveur du botnet. Ce serveur est différent selon les versions de XCodeGhost. Palo Alto Networks a dénombré trois URL différentes :

http://init.crash-analytics.com
http://init.icloud-diagnostics.com
http://init.icloud-analysis.com

Le dernier de ces trois domaines est également lié au malware KeyRaider^[1] qui a infecté certains terminaux iOS.

Accès au presse-papier[modifier | modifier le code]

XCodeGhost est également susceptible d'accéder à toutes les données transitant par le presse-papier d'iOS et de les modifier. Les utilisateurs de gestionnaires de mots de passe sont alors particulièrement vulnérables.

Ouverture arbitraire de pages web[modifier | modifier le code]

XCodeGhost permet l'ouverture de pages Internet au lancement d'une application infectée. Le malware tire avantage des mécanismes de communication d'URL inter-applicative d'iOS et OS X (comme dans les applications WhatsApp, Facebook, iTunes...) et permet à l'attaquant d'ouvrir n'importe quelle application installée sur l'appareil infecté, mettant une nouvelle fois à mal les gestionnaires de mots de passe.

Messages d'alerte[modifier | modifier le code]

La dernière version connue de XCodeGhost est capable de déclencher l'ouverture de messages d'alerte qui peuvent prendre la forme d'une demande légitime de saisie d'identifiants Apple. Ces derniers peuvent alors envoyés sur le serveur du botnet de l'attaquant.

Applications infectées[modifier | modifier le code]

Sur le marché chinois, les types d'applications concernées par l'infection sont majoritairement des applications bancaires, des messageries instantanées, des réseaux sociaux, des applications de suivi logistique, de cartographie, de trading financier, ainsi que des jeux.

Des applications utilisées mondialement ont également été touchées, comme WeChat, CamScanner ou encore WinZip.

Selon la communauté de jailbreaker iOS chinois Pangu Team, 3 418 applications se sont révélées être infectées par le malware.

Suppression du logiciel malveillant[modifier | modifier le code]

Neutralisation des serveurs et des distributions vérolées[modifier | modifier le code]

À la suite des premières publications concernant XCodeGhost par Alibaba et Palo Alto Networks, Amazon a déconnecté tous les serveurs impliqués.

En Chine, Baidu a procédé à la suppression des versions infectées de Xcode de son service de stockage en ligne.

Suppression des applications infectées dans l'App Store[modifier | modifier le code]

Deux jours seulement après la découverte du malware, Apple demanda aux développeurs des applications infectées de les recompiler avec une version officielle de Xcode avant de les soumettre à nouveau pour vérification.

Pangu Team a par la suite mis à disposition du grand public un outil de détection des applications infectées. Toutefois, à l'instar d'autres applications antivirus, la solution ne fonctionne que sur des terminaux ayant préalablement été débridés.

Vérification de la version de Xcode[modifier | modifier le code]

Apple conseille à ses développeurs tiers de vérifier leur version de Xcode et de toujours activer GateKeeper sur leurs machines de développement.

Notes et références[modifier | modifier le code]

↑ KeyRaider un malware affecte 225000 iPhones, sur zdnet.fr.

Liens externes[modifier | modifier le code]

Article de Clubic.com

Source[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « XCodeGhost » (voir la liste des auteurs).

[1] KeyRaider un malware affecte 225000 iPhones, sur zdnet.fr.

[1]

v · m Attaques, menaces et programmes informatiques malveillants
Vers	Attaque par déni de service (Denial of service) Code Rouge (Code Red) Débordement tampon (Buffer overflow) De réseau Bugbear ExploreZip (I-Worm.ZippedFiles) Flame (Worm.Win32.Flame) Here you have (via courriel) I love you (Love Letter) Sapphire (Slammer) Spambot (Spam robotisé) Stuxnet (via clé USB) Ver de script (Script Worm)
Chevaux de Troie	Bombe (Bomb) Cliqueur (Modificateur du fichier Hosts) Code automodifiable (Self-modifying code) Espiogiciel (Spyware) Injecteur (Dropper) Notificateur (Trojan) Porte dérobée (Backdoor) Rançongiciel (Ransomware) Scanneur de vulnérabilité (Vulnerability scanner) Trojan Rustock (Botnet Rustock) Trojan Srizbi (Botnet Exchanger) Trojan Storm (Botnet Storm) Zombificateur (Zombie)
Virus	Autorépliquant (Wabbit) De fichier Du secteur d’amorçage (boot) De script Macrovirus Ping-Pong virus Virus polymorphe
Autres	KeyRaider XcodeGhost