Ce que tout développeur doit savoir sur les attaques par repackaging

Le reconditionnement des applications mobiles (parfois appelé attaque par clonage) touche les développeurs de toutes tailles, des start-ups aux entreprises. Quelle que soit la taille de votre entreprise ou le nombre d’utilisateurs qui téléchargent votre application, il est important que tous les développeurs et éditeurs soient conscients de ce vecteur d’attaque. Le reconditionnement des applications offre aux attaquants un moyen facile d’utiliser votre propre propriété intellectuelle contre vous et vos clients. Historiquement, les attaques par reconditionnement ont été le moyen le plus courant de déployer des logiciels malveillants sur des appareils intelligents.

Qu’est-ce qu’une attaque de reconditionnement ?

Lorsqu’un attaquant reconditionne une application à ses propres fins, il utilise généralement ces 5 étapes :

1. Prenez l’application originale dans la boutique d’applications (par exemple, Google Play). Pour ce faire, il suffit d’utiliser un navigateur web.
2. Ouvrez l’application – des outils open source sont disponibles gratuitement et permettent à un attaquant de le faire très facilement.
3. Modifier l’application – un attaquant apportera des modifications à votre application pour l’adapter à ses besoins.
4. Reconditionnez l’application en utilisant les outils de développement standard.
5. Convaincre les utilisateurs de télécharger l’application reconditionnée – les criminels sont extrêmement habiles en matière de phishing et d’autres astuces pour amener les utilisateurs à télécharger des applications malveillantes et illégitimes.

Une attaque de cette nature est très efficace car elle se base sur la propriété intellectuelle originale du développeur. Cela signifie que, du point de vue de l’utilisateur, l’application reconditionnée se comporte exactement comme il s’y attend. L’interface utilisateur est identique et peut tromper même les utilisateurs les plus avertis, qui ne se rendent pas compte qu’ils ont installé un logiciel malveillant. Les attaques par reconditionnement sont également faciles à réaliser – aucune magie du dark web n’est requise. Les outils et les connaissances sont tous disponibles gratuitement. Les cybercriminels sont attirés par cette forme d’attaque car elle offre un rendement énorme pour un investissement minuscule. Sans citer de noms, examinons quelques exemples de la façon dont le reconditionnement d’applications a été utilisé à des fins malveillantes :

Repackaging d’une application vidéo OTT (Over the Top)

Les applications de streaming vidéo sont une cible fréquente pour le reconditionnement. La nature de ces derniers offre un bon matériel d’hameçonnage aux cybercriminels – ce qui maximise le retour sur investissement de l’attaquant. Par exemple, si le service est financé par la publicité, les utilisateurs seront probablement intéressés par une version « sans publicité » de l’application. En fait, dans de nombreux cas, les utilisateurs recherchent activement une version « sans publicité ». Pour attirer des victimes consentantes, les attaquants modifient l’application OTT légitime en supprimant les publicités. Après avoir supprimé les publicités (et donc vos efforts de monétisation), ils apportent d’autres modifications cachées à l’application, comme l’intégration d’un logiciel espion qui siphonne les informations d’identification de l’utilisateur. Ce sont ces modifications cachées qui donnent à l’attaquant sa récompense. Les applications médias reconditionnées privent les opérateurs de services de leurs revenus publicitaires. Cependant, il est peut-être encore plus dommageable que l’attaque soit exposée et que l’application et la marque d’un opérateur soient associées à une violation de données personnelles. Dès que le nom de votre entreprise fait la une des journaux pour une violation de la sécurité, sa réputation et sa valeur s’effondrent, tout comme ses revenus.

Le vol de la propriété intellectuelle (PI)

Les magasins d’applications sont remplis de jeux attrayants et divertissants qui n’ont jamais obtenu la popularité qu’ils méritaient. Pour couronner le tout, ces jeux sont des cibles parfaites pour les attaquants. Les criminels s’emparent d’un jeu peu connu, en modifient la marque, ajoutent de la publicité qui rémunère l’attaquant, puis le republient dans les magasins d’applications comme s’ils l’avaient développé eux-mêmes. Pour moins d’une journée d’efforts, les criminels peuvent acquérir un flux de revenus raisonnablement rentable (qui leur rapporte généralement plus d’argent que le développeur original n’en a jamais gagné).

Comment prévenir les attaques de reconditionnement

Toutes les applications installées sur les appareils Android ou iOS doivent être signées par le développeur – il n’est pas possible d’installer une application non signée. Pour les développeurs, la première ligne de défense consiste simplement à empêcher un attaquant de résilier l’application à l’aide des outils de développement standard. Si un attaquant est capable de démissionner de l’application, il peut la présenter comme la sienne. La deuxième ligne de défense consiste à empêcher les modifications du code à l’aide de la technologie Anti-Tamper. Cela empêche un attaquant de modifier le code exécutable et l’empêche d’apporter des modifications à votre application ou d’insérer du code supplémentaire. Les solutions de blindage de Verimatrix offrent une défense solide contre les attaques de reconditionnement. Une application Android ou iOS protégée par ces solutions faciles à mettre en œuvre peut valider que le certificat de signature provient du développeur original. Un solide réseau anti-tamper est imbriqué dans le code fonctionnel, qui valide en permanence que le code n’a pas été modifié pendant son exécution.