Malgré les affirmations d’Apple selon lesquelles l’App Store est un « endroit sûr auquel vous pouvez faire confiance« , il semble que certains développeurs trouvent encore le moyen de contourner le processus d’examen de la société pour distribuer des applications frauduleuses aux utilisateurs d’iPhone, d’iPad et de Mac. Cette fois, un chercheur identifié comme « Privacy1St » (Alex Kleber) a partagé un rapport sur plusieurs applications chinoises qui ont trompé l’équipe de révision de l’App Store.
Le rapport a été partagé dans un post sur Medium et a également été soutenu par Patrick Wardle, chercheur en sécurité et ancien employé de la NSA. L’enquête a examiné sept comptes de développeurs Apple différents qui seraient gérés par le même développeur chinois. Ces applications, selon le rapport, abusent des directives de l’App Store de nombreuses façons différentes.
Comme le note le chercheur, la plupart de ces applications contiennent des logiciels malveillants cachés qui peuvent recevoir des commandes d’un serveur. De cette façon, le code malveillant attend que l’application soit approuvée dans l’App Store avant de la mettre en ligne. Cette technique permet aux développeurs de modifier à distance l’ensemble de l’interface de l’application, de sorte qu’Apple voit une application complètement différente de celle qui sera livrée aux utilisateurs.
Bien que les applications aient été publiées par des comptes de développeurs différents, elles établissent toutes des communications avec des domaines utilisant des services comme Cloudflare et Godaddy afin de dissimuler leur hébergeur. Il est intéressant de noter que le site Web des règles de confidentialité de ces applications redirige les utilisateurs vers des pages Web publiques créées avec Google Sites.
Un autre aspect du code de ces applications qui les relie au même développeur est qu’elles utilisent toutes le même mot de passe pour décrypter un fichier JSON utilisé pour tromper l’équipe de révision de l’App Store. Dans certains cas, ce développeur a publié pratiquement la même application sous différents comptes, afin que ces applications puissent toucher et tromper encore plus d’utilisateurs.
Comme l’indique le rapport, l’une de ces applications est un « lecteur de PDF » qui figure parmi les applications les plus téléchargées sur le Mac App Store américain. Une fois téléchargée, l’application incite les utilisateurs à payer un abonnement. Mais le stratagème va bien au-delà, car toutes ces applications ont une quantité suspecte d’avis positifs au milieu d’avis négatifs affirmant que les applications ne fonctionnent pas.
Bien entendu, ces avis positifs sont faux et achetés par le développeur pour faire croire aux utilisateurs réguliers que l’application est légitime. Depuis la publication du rapport, Apple a supprimé la plupart des faux avis sur ces applications. Certaines des applications malveillantes semblent également avoir été retirées du Mac App Store.
Le mois dernier, Apple a déclaré que l’App Store avait arrêté « près de 1,5 milliard de dollars de transactions frauduleuses en 2021 » grâce à l’équipe de révision de l’App Store. Cependant, ce n’est pas la première ou la deuxième fois que des chercheurs montrent que l’App Store est encore très sensible aux applications frauduleuses. En attendant, Apple continue de dire que le processus de sideloading est le véritable ennemi des utilisateurs.