Actualités

SourMint / MintegralAdSDK : depuis 2019, un malware sur l’App Store a été téléchargé 300 millions de fois… par mois !

Dans l’actualité insécuritaire, il n’y a pas qu’Android : l’espace e-marchand d’Apple peut aussi faire, malheureusement, être concerné ! C’est le cas de SourMint, un kit de développement – ou SDK – malveillant qui, depuis Juillet 2019, sévit en toute quiétude au sein de l’App Store…

 

 

Mis en lumière par Synk, il s’agit d’un spyware qui proviendrait d’un annonceur publicitaire chinois qui, tout en ex-filtrant les données-utilisateurs sensibles (PII : Information Personnelle Identifiable) aurait dégager un revenu confortable via une rémunération (cachée) aux clics. Le kit est pernicieux puisque ni les développeurs ni-même les annonceurs tiers ne pouvaient voir la supercherie : “Les développeurs peuvent s’inscrire en tant qu’éditeurs et télécharger le SDK à partir du site Mintegral. Une fois chargé, le SDK injecte du code dans les fonctions iOS standard de l’application qui s’exécutent lorsque l’application ouvre une URL, y compris les liens de l’App Store, à partir de l’application. Cela permet au SDK d’accéder à une quantité importante de données et même à des informations utilisateur potentiellement privées“, explique le billet des chercheurs, au 24 Août dernier.

Côté fonctionnement, le retour-requête s’amorce (depuis un envoi initial de ladite requête vers le serveur qui réceptionne les informations obtenues de manière malveillante) par le biais d’un fichier de type JSON. Un départ de flamme qui s’opère avec divers outils (des drapeaux – veille débogage – pour activer ou non certaines fonctions, une option pour capturer ou enregistrer l’historique de clics, une URL qui groupera de manière chiffrée cette activité de clics pour mieux agencer les données ou encore un timer pour appliquer diverses mises à jour. L’installation primaire s’avère un point-clé, selon les chercheurs : “Au moment de l’exécution, le SDK utilise la méthode swizzling pour injecter du code malveillant dans les implémentations de nombreuses méthodes et gestionnaires. Ces hooks lui permettent d’intercepter toute demande basée sur une URL effectuée à partir de l’application, même celles qui se sont produites en dehors du SDK Mintegral. Il s’agit de l’étape cruciale qui permet au SDK de collecter les informations nécessaires sur les clics des utilisateurs pour créer avec succès une notification de clic au fournisseur d’attribution“.

Tout comme DreamJob exposée publiquement depuis peu, pour parfaire le camouflage de l’adware-spyware, des fonctions de débogage étaient présentes pour endormir les soupçons éventuels avec un comportement adaptatif s’il était démasqué. Comme illustré ci-dessus, le SDK se compose de deux éléments : la partie publicitaire qui permettra de diffuser l’application vérolée et les clics publicitaires et la partie secondaire qui va collecter un ensemble de données (ainsi usurpées) pour les envoyer vers un ou plusieurs serveurs distants. Concernant ce aspect dernier, voici les informations aspirées (outre, est-il souligné, d’autres “informations sensibles” éventuelles comme la version de l’OS, le type de réseau, la version du SDK malveillant, le class-name, l’adresse IP…) :

 

  • URL (requête), permettant de pointer un utilisateur directement,
  • Tokens (authentification) depuis l’en-tête de requête,
  • Profil-modèle-groupes d’utilisateurs, depuis le code (point de création-requête),
  • L’identifiant du terminal (IDFA), côté annonceur et, indirectement, l’IMEI, côté utilisateur.

 

MintegralAdSDK est disponible sur Github en version 6.3.5.0 et semble se limiter, en théorie, à l’environnement-système Apple… A veiller !

 

 

Source : Synk – 24 Août 2020 – MintegraAdSDK, SourMint : vulnérabilité au sein de l’App Store depuis un an.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020