Une chose est sûre : cloner d'une application est un jeu d'enfant pour les cybercriminels.
Les fausses applications (ou clones) sont des applis mobiles Android ou iOS qui imitent dans une certaine mesure l'apparence et les fonctionnalités d'une application officielle tout en cachant des activités malveillantes, intrusives ou lucratives.
Certaines de ces opérations peuvent être bénignes, comme la publicité massive dans le but de faire du bénéfice. Dans d'autres cas, elles peuvent être plus dommageables en récupérant des données monétisables sur le terminal de l'utilisateur final ou en introduisant un logiciel malveillant (trojan bancaire, keylogger, ransomware, etc.).
Cet article présente les raisons de la prolifération des clones d'applications et pourquoi ils sont si faciles à construire pour un cybercriminel lambda.
La première étape pour créer une fausse application est de comprendre son code initial. Les applications Android sont une cible de choix, car seul le fichier APK est nécessaire pour transformer l'application en un code lisible pour une personne. Toute recherche sur le web fournit facilement des outils permettant de restituer les applications sous une forme compréhensible. Seules quelques manipulations sont nécessaires pour avoir une vision claire des principales fonctionnalités de l'application.
À partir de là, il est très facile d'ajouter à peu près n'importe quoi dans l'application : une bibliothèque de publicité, un malware, demander plus de permissions et récolter des données personnelles...
Il est certain qu'une application qui a été obfusquée sera plus difficile à modifier. Mais pour citer les termes du Mobile Security Testing Guide de la Fondation OWASP : "la rétro-ingénierie gagne toujours". Si les développeurs essaient de rendre la tâche aussi difficile que possible en utilisant des moyens furtifs d'anti-falsification, de cryptographie, etc., il s'agit d’une course en avant dans laquelle les pirates vont, à un moment donné, surmonter les différentes barrières mises en place.
Presque toutes, pour ne pas dire toutes les applications, intègrent des bibliothèques. Il en existe de nombreuses, très utilisées pour la publicité, la gestion des accès...
Examinons de plus près un cas précis de manipulation de code malveillant (code tampering) en nous concentrant sur les bibliothèques publicitaires. Aujourd'hui, un grand nombre d'applications mobiles intègrent des publicités pour faire du profit, surtout celles qui sont gratuites. En connaissant la bibliothèque ciblée, le criminel peut localiser les fonctions d'appel où est défini l'identifiant de la publicité à promouvoir. Il est alors très facile pour lui d'insérer son propre identifiant, de repackager l'application et essayer de la distribuer. De manière plus malveillante, elle pourrait demander plus de permissions au lancement et ensuite exfiltrer des données sensibles (journal d'appels, liste de contacts, fichiers d'entreprise...).
D'autres types de bibliothèques, telles que celles de gestion des accès, pourraient être détournées afin de tromper l'utilisateur et l'amener à fournir ses identifiants.
Enfin, les clones d'applications sont distribués par de multiples moyens : magasins d'applications tiers, campagnes de social engineering, hameçonnage (phishing), etc. mais aussi sur les stores.
Une étude récente de Cybernews a révélé qu'une centaine d'applications diffusées sur le Google Play et totalisant 69 millions d'installations étaient des clones. Les contrôles de sécurité effectués par les systèmes de sécurité des stores se contentent de vérifier qu'aucun malware connu n'est intégré dans l'application pour empêcher l'expansion de célèbres trojans, ransomwares, etc. Toute bibliothèque exfiltrant des données personnelles ou demandant des autorisations abusives ne sera pas détectée et restera donc invisible aux yeux de l'utilisateur.
L'exemple précédent montre que les magasins ne sont pas exempts de clones. Mais les utilisateurs récupèrent aussi volontairement des clones dans les magasins tiers sans prêter attention aux conséquences. En effet, il est tentant d'obtenir une application sans publicité, avec des fonctionnalités premium ou de télécharger le dernier jeu non disponible publiquement (comme cela s'est produit lorsque le jeu "Fortnite" n'était pas accessible au grand public).
Par conséquent, d'après ce qui a été démontré ci-avant, les pirates n'ont qu'à choisir des applications à la mode et à ajouter quelques fonctionnalités pour assurer leur succès dans les magasins secondaires.
Le clonage et la diffusion à grande échelle de votre application d'entreprise peuvent entraîner de sérieux problèmes de réputation et de confiance de la part des partenaires et des utilisateurs finaux. Il est presque impossible d'empêcher un cybercriminel de faire de la rétro-ingénierie de votre application pour en créer une fausse.
L'équipe de recherche et développement de Pradeo a travaillé sur ce sujet et a élaboré un mécanisme unique de "shielding" des applications pour empêcher les attaques ciblées et les activités de clonage. Cette technologie garantit à la fois à l'entreprise et aux utilisateurs finaux de ne pas être trompés par un clone.
Contactez-nous pour avoir plus d'informations sur cette toute nouvelle fonctionnalité.