Les iPhone ne sont pas forcément aussi sécurisés que le croient les utilisateurs. C’est en tout cas ce que rappelle Sophos dans un communiqué autour d’une vague d’arnaques qu’ils ont baptisée CryptoRom. Cette campagne ne semble pas le fait d’un unique groupe d’acteurs. Mais cette recrudescence repose sur une technique redoutable mêlant social engineering, abus des applications TestFlight et de la fonctionnalité WebClips sur iOS, associée à des méthodes avancées de phishing.
Les chercheurs de Sophos connaissent ce mode opératoire depuis début 2021 : “ce style de cyber-fraude, connue en Chine sous le terme ‘sha shu pan’ (杀猪盘) — littéralement ‘plaque de boucherie’ — est une opération d’arnaques très organisée et syndiquée qui utilise un mélange, souvent de social engineering romantique ainsi que des applications financières et sites frauduleux pour piéger leurs victimes et voler leurs économies après avoir gagné leur confiance. Bien que la campagne visait initialement surtout des victimes en Asie, nous avons documenté son expansion mondiale dès octobre 2021”, expliquent les chercheurs.
Comment des cybercriminels abusent de l’application de bêta TestFlight pour infecter les iPhone
Ce qui est intéressant avec le mode opératoire de cette campagne est tout l’écosystème qui s’est mis en place autour de ce dernier. En effet, comme l’expliquent les chercheurs de Sophos, les malfaiteurs n’ont même pas à réaliser le gros de l’opération eux-mêmes. Divers sites se spécialisent dans le listing des applications dans TestFlight. Sachant qu’il existe plusieurs types de mise en ligne et que en dessous de 100 utilisateurs, Apple ne vérifie quasiment jamais les applications qui se retrouvent dans TestFlight avec la licence minimum.
Lorsque l’on liste une application avec ce procédé, il faut bien sûr convaincre la victime d’installer au préalable TestFlight puis de suivre un lien. Mais l’application vérolée s’installe ensuite sans afficher d’avertissement sur le smartphone de la victime. Les chercheurs de Sophos soulignent que la manière dont est géré TestFlight en l’état permet de dangereux abus. En passant par des services tiers, les pirates peuvent en réalité infecter un nombre illimité de victimes, malgré la limite officielle de déploiement de 100 copies qui vient avec la licence la plus restrictive.
Ajoutez à cela que les applications en question proposés par des dizaines de sites, au design similaire, qui prétendent proposer des applications en tentant de convaincre les victimes les moins vigilantes avec divers arguments (finances, relations amoureuses, etc…) et l’on comprend vite pourquoi ces acteurs semblent effectivement avoir trouvé un moyen particulièrement efficace de diffuser des malware.
Gare également aux WebClips
Mais Sophos évoque également un autre vecteur d’attaque, également très utilisé par les pirates visant les iPhone en ce moment : les WebClips. Safari permet en effet d’enregistrer des sites internet sous la forme d’icônes sur l’écran d’accueil. Les pirates détournent le dispositif en créant des pages dont le design peut évoquer par exemple une page de téléchargement sur l’App Store, ou carrément une application complète aux yeux d’un utilisateur insuffisamment vigilant. Evidemment, rapidement la page donne des instructions pour télécharger TestFlight et installer cette application qu’on ne trouve étrangement pas sur l’App Store…
Quand il ne s’agit pas d’un faux écran de connexion visant à voler vos codes de connexion. Sophos prévient par ailleurs que la campagne en cours vise aussi les utilisateurs Android – mais les méthodes employés pour viser ces derniers sont nettement plus classiques. Alors comment se protéger contre ce genre d’attaques ? Tout d’abord rappelons que TestFlight ne sert uniquement à tester des applications en phase de bêta. Le commun des utilisateur n’a aucune raison d’installer cette application.
Lire aussi – Android – méfiez-vous du malware Escobar qui siphonne les app bancaires
Par ailleurs, il est fortement recommandé de ne passer que par l’App Store pour installer des applications. Apple vérifie toujours les applications disponibles sur son magasin d’applications et à notre connaissance, les pirates ne connaissent pas encore de moyen d’y téléverser des malware…
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
