Chez VMX Labs, nous avons appris que 60 applications mobiles véhiculent le même logiciel malveillant Android n'est pas nécessairement plus choquant que d'autres attaques de logiciels malveillants d'une portée potentiellement considérable impliquant des appareils mobiles. Cependant, c'est l'occasion d'illustrer à nos lecteurs pourquoi le code réel (ou la source du code) doit faire l'objet d'une attention particulière au cours du processus de développement de l'application.

Après tout, le récent logiciel malveillant Goldoson, signalé par Bleeping Computer, semble avoir étendu ses tentacules par le biais de plus de 100 millions de téléchargements associés à ces 60 applications mobiles infectées. Deux des plus grandes applications concernées sont L.POINT with L.PAY et Money Manager Expense & Budget (toutes deux avec plus de 10 millions de téléchargements). Bleeping computer rapporte que le composant malveillant Goldoson fait partie d'une bibliothèque tierce utilisée par toutes les applications. C'est ainsi que commence la production massive de maux de tête pour de nombreux développeurs. 

Les attaques de la chaîne d'approvisionnement de ce type, où les attaquants injectent leur code dans des bibliothèques libres (ou des bibliothèques provenant de sources non fiables), peuvent être difficiles à éviter pour les développeurs d'applications, car même s'ils n'utilisent que des logiciels libres évalués par des pairs, des injections de code de logiciels malveillants dans ces bibliothèques peuvent toujours se produire. Étant donné que ces logiciels malveillants ne déploient leur activité qu'une fois l'application déployée, les scanners de sécurité, même les examens de sécurité, ainsi que ceux des magasins d'applications, ne détectent pas ces attaques. Pour avoir un semblant de tranquillité d'esprit, les développeurs d'applications doivent être en mesure de surveiller en permanence leur application sur le terrain, d'identifier ces problèmes lorsqu'ils se manifestent et de remédier à la menace dans les plus brefs délais. Les bibliothèques tierces concernées sont souvent une partie cruciale de l'anatomie d'une application, de même que sa posture de cybersécurité, pour avoir cette couche supplémentaire de contrôle.

Découvert par McAfee, Goldoson recueillerait des données sur les applications d'un appareil, les dispositifs Wi-Fi et Bluetooth, ainsi que sur l'emplacement de l'appareil, tout en cliquant frauduleusement et silencieusement sur des publicités en arrière-plan. Dès qu'un utilisateur lance une application qui a utilisé la bibliothèque infectée, Goldoson se met au travail, lui indiquant les données à voler et les publicités à cliquer. Les applications impliquées qui ont reçu de nombreuses autorisations de la part de l'utilisateur sont clairement celles qui volent le plus de données.  

La plupart des consommateurs ignorent que les boutiques d'applications telles que Google Play ne sont pas responsables de la sécurisation des applications individuelles qui ne sont pas produites par Google. Ce n'est pas leur rôle. La politique habituelle de Google, qui consiste à supprimer les applications qui ne sont pas conformes à ses règles en raison de problèmes connus, en est la preuve. La responsabilité de la sécurité des applications mobiles incombe donc uniquement au développeur de l'application. Ironiquement, le thème des problèmes de sécurité fréquents associés à tout ce qui est "tiers", en particulier pour les applications mobiles, se poursuit non seulement avec la nécessité de remédier à l'infection de la bibliothèque tierce concernée, mais aussi avec le fait que les boutiques d'applications Android tierces pourraient toujours héberger la même bibliothèque malveillante.  

Ces types d'attaques, qui illustrent la menace importante que peut représenter l'anatomie non surveillée ou non vérifiée d'une application mobile, incitent l'industrie à mettre en place une chaîne d'approvisionnement en logiciels qui donne la priorité non seulement à la connaissance de l'arrière-plan de toute son anatomie (également connue sous le nom de composants), mais aussi à la capacité de déterminer si quelque chose ne va pas dans l'activité d'une application et doit être corrigé parce qu'un élément a été négligé lors de l'examen initial de la chaîne d'approvisionnement en logiciels. Cela peut concerner à la fois le code source ouvert et le code propriétaire, comme le souligne ce document de TechTarget de TechTarget.

5 choses que les développeurs d'applications peuvent faire pour protéger l'anatomie de leur code

  1. Se renseigner sur la réputation de la bibliothèque tierce avant de l'intégrer dans leur code. Il peut s'agir de lire les critiques et les commentaires d'autres développeurs, de vérifier les antécédents de la bibliothèque en matière de sécurité et d'examiner les vulnérabilités ou les incidents de sécurité qui ont pu lui être associés. Examinez la fréquence des nouvelles modifications du code, l'existence d'un manifeste de sécurité et essayez de trouver une liste de correctifs publiés qui montrent si le code est activement maintenu avec la sécurité à l'esprit.
  2. Exécuter des outils de validation de code sur le code de la bibliothèque pour obtenir une meilleure compréhension de la qualité du code et éventuellement découvrir des vulnérabilités. 
  3. Surveiller activement l'applicationy compris la bibliothèque, en temps réel et surveillez les comportements imprévus qui pourraient indiquer l'activation de logiciels malveillants dormants provenant de la chaîne d'approvisionnement. Des outils tels que ceux utilisés par Verimatrix XTD peuvent faciliter cette tâche.
  4. Maintenir la bibliothèque tierce à jour : Les développeurs doivent s'assurer qu'ils utilisent la version la plus récente de la bibliothèque tierce, car elle inclut généralement les mises à jour de sécurité ou les correctifs. Bien entendu, la surveillance et les tests mentionnés ci-dessus sont nécessaires après chaque mise à jour. 
  5. Renforcer leurs applications à l'aide d'outils de cybersécurité tels que Verimatrix XTDafin d'éviter que des vulnérabilités ou des faiblesses soient exploitées pour voler des données sensibles, installer des logiciels malveillants ou lancer d'autres types d'attaques.

La majorité des applications mobiles n'étant pas protégées contre les menaces les plus récentes, l'équipe du VMX Lab s'efforce de mettre en évidence le profond manque de confiance et de sécurité que cette défaillance fondamentale peut créer. Elle souligne le rôle vital que jouent les développeurs d'applications dans la cybersécurité et la manière dont ils peuvent exploiter la puissance rentable de Verimatrix XTD pour la combattre de manière cohérente. Verimatrix XTD fournit une bibliothèque de fonctions de défense et de surveillance qui, entre autres, mettent en évidence le comportement suspect des bibliothèques de logiciels malveillants comme celle décrite ci-dessus.