Apps malveillantes passent encore les boutiques Apple et Google Des cas récents montrent que l’App Store et le Play Store laissent passer des apps malveillantes, avec Ledger Live et Freecash illuminant les failles du système. « Apps malveillantes passent encore les boutiques d'Apple et Google ».
« Apps malveillantes passent encore les boutiques d'Apple et Google ». Apple affirme que l’App Store est l’endroit le plus sûr pour trouver les apps que vous aimez, une promesse reprise par Google pour le Play Store. Pour autant, deux exemples récents démontrent que la sécurité n’est pas parfaite et que des applications malveillantes peuvent passer à travers les mailles du filet.
Ledger Live : une app malveillante passée par le Mac App Store
La première affaire concerne Ledger Live, une app macOS distribuée via le Mac App Store qui imitait celle du portefeuille Ledger, bien connu dans l’univers des crypto-monnaies. Après téléchargement et installation, l’application réclamait des phrases de récupération (seed) des utilisateurs, ouvrant la porte à un vol potentiel des fonds.
Avec ces informations, les attaquants pouvaient accéder aux portefeuilles et transférer des actifs vers des adresses externes. Les fonds ont été redirigés vers plus de 150 adresses liées à KuCoin, une plateforme d’échange centralisée qui a temporairement gelé les comptes concernés. Le chercheur en sécurité Zachary Wolk, alias ZachXBT, estime que l’app frauduleuse a volé environ 9,5 millions de dollars auprès d’une cinquantaine d’utilisateurs.
Le logiciel malveillant était édité par un compte développeur non affilié à Ledger. L’app légitime est disponible sur le site officiel de Ledger et via son propre canal. Après des signalements, Apple a retiré l’application de sa boutique.
Freecash : un autre exemple dans les boutiques d’Apple et Google
Un autre cas met en évidence les mécanismes d’arnaque et les risques dans les boutiques officielles : l’app Freecash, qui a atteint le sommet du classement des applications gratuites de l’App Store américain en janvier. Des publicités sur TikTok promettaient aux utilisateurs de gagner de l’argent simplement en regardant des vidéos, en insinuant que TikTok embaucherait pour cette activité.
Malwarebytes précise que TikTok a retiré plusieurs annonces pour non-respect des règles sur les contenus financiers, mais des utilisateurs avaient déjà téléchargé Freecash. Le modèle reposait sur des jeux qui encouragent des dépenses et collectent des données personnelles, créant des profils susceptibles d’être ciblés par des escroqueries.
Suite à un signalement de TechCrunch, Apple et Google ont retiré Freecash de leurs boutiques. L’éditeur Almedia a nié les accusations de trafic artificiel et de marketing trompeur; le parcours de l’application reste complexe: une première version publiée en mars 2024 a été retirée deux mois plus tard, puis une version rebaptisée Freecash a émergé par la suite, sans que l’on sache si Almedia a acquis le compte développeur associé. La pratique consistant à contourner un bannissement via un autre compte développeur ou par un bait-and-switch demeure contraire aux règles de l’App Store.
Ce que cela révèle sur la sécurité des boutiques
Ces affaires montrent que la sécurité des boutiques officielles dépend avant tout des procédures de validation et d’audit internes, et que des apps malveillantes peuvent passer entre les mailles. Apple et Google retirent les applications après signalement, mais le temps d’exposition des utilisateurs peut être conséquent. La provenance des comptes développeurs et les redéploiements successifs complexifient le travail de traçage et de prévention.
- Validation et mises à jour : les stores surveillent et retirent les apps après signalement, mais des versions ultérieures peuvent réapparaître sous un autre nom ou compte.
- Modèles d’arnaque : collecte de données personnelles et incitation à installer des jeux ou à dépenser de l’argent, souvent via des publicités ou des promotions trompeuses.
Pour terminer
Les boutiques officielles d’Apple et de Google ne cessent pas d’être le cœur de l’écosystème mobile, mais ces cas rappellent qu’aucune plateforme n’est invulnérable. Une vigilance accrue des utilisateurs et des vérifications plus rigoureuses des éditeurs restent essentielles pour réduire les risques d’apps malveillantes dans les magasins d’applications.
