XcodeGhost : de nombreuses entreprises concernées
FireEye indique avoir observé l’activité d’applications compromises par XcodeGhost sur les réseaux de 210 entreprises nord-américaines. La partie visible de l’iceberg ?
Pour mémoire, XcodeGhost est une menace découverte par les chercheurs de Palo Alto Networks avec, à son origine, des versions vérolées de Xcode, l’environnement de développement d’Apple, distribuées en Chine : toutes les applications compilées avec ces versions de Xcode étaient assorties de code malveillant chargé de collecter et d’exfiltrer des données personnelles.
Si Apple a rapidement engagé le nettoyage de son magasin applicatif, et contribué à la protection du grand public, cela n’a pas forcément suffi à éradiquer la menace. Et les observation de FireEye le confirment.
Dans un billet de blog, le spécialiste de la sécurité explique ainsi avoir observé l’activité d’applications compromises par XCodeGhost sur les réseaux de 210 entreprises aux Etats-Unis : « XCodeGhost est entré dans des entreprises américaines et constitue un risque de sécurité permanent. Son botnet est encore partiellement actif ».
En tout, les applications compromises observées ont généré 28 000 tentatives de connexion aux centres de commande et de contrôle de XCodeGhost. Trois pourcents d’entre eux sont opérés en France, contre 62 % en Allemagne, et 33 % outre-Atlantique.
Surtout, FireEye indique avoir détecté une « variante que nous appelons XCodeGhost S montre que des échantillons plus avancés sont passés inaperçus ». Celle-ci est spécifiquement conçue pour se jouer de certains ajouts de sécurité introduits avec iOS 9 et, surtout, échapper aux tentatives de détection par analyse statique, grâce à al reconstruction, caractère par caractère des noms de domaines des centres de commande et de contrôle.
Et reste encore une fois à savoir si des entreprises ayant externalisé leurs développements dans des pays à bas coûts ne sont pas susceptibles d’être concernées.
Parallèlement, FireEye indique avoir découvert des versions malveillantes d’une librairie publicitaire utilisée dans des « milliers » d’applications présentes dans le magasin applicatif d’Apple : ces versions intègrent une porte dérobée permettant de réaliser des captures d’écran et des enregistrements audio, de suivre la localisation géographique du terminal, de consulter son trousseau (là où iOS stocke les mots de passe, ndlr), ou encore de transférer des données collectées sur des serveurs distants, de manière chiffrée, et d’inciter au téléchargement d’applications en dehors de l’App Store.
Près de 3000 applications seraient concernées. Apple a reçu la liste complète des applications concernées fin octobre.