Des chercheurs en sécurité ont mis la main sur des logiciels-espions capables d’infecter les appareils sous iOS, même s’ils ne sont pas jailbreakés.
En
octobre dernier, Trend Micro avait révélé une vaste opération de
cyberespionnage baptisé « Pawn Storm » ciblant des ministères, des
militaires et des journalistes, notamment en Europe et aux Etats-Unis.
Pour déployer leurs logiciels espions sur les PC Windows, les pirates -
qui selon la société Fire Eye seraient à la solde du gouvernement russe - s’appuyaient sur des emails et des sites web piégés.
Trend Micro vient maintenant de
découvrir une autre cible d’attaque : les iPhone et les iPad. Les
chercheurs en sécurité ont mis la main sur deux malwares baptisés MadCap
et XAgent. Le premier ne peut s’installer que sur terminaux jailbreakés
et réalise principalement des enregistrements audio à distance.
Le second, plus virulent, est capable
d’infecter les terminaux iOS même s’ils ne sont pas jailbreakés. Parmi
les vecteurs d’infection utilisés, il y en a un bien connu : le « ad hoc
provisionning » d’Apple. Celui-ci permet aux développeurs et aux
entreprises d’installer des applications sur des terminaux tout en
court-circuitant l’App Store. Il suffit de cliquer sur un lien.
iOS 7 en ligne de mire
Il
est probable que les pirates utilisent cette méthode avec une bonne
dose d’ingénierie sociale, car ce type d’installation s’accompagne
toujours d’un message d’alerte de la part du système.
Il faut donc que l’utilisateur soit mis en confiance au préalable. Une
fois installé, le malware procède à la collecte d’informations. Il
siphonne entre autres les messages texte, les listes de contacts, les
images et les données de géolocalisation. Il peut également lancer des
enregistrements audio. Les données sont exfiltrés par des connexions
HTTP à des serveurs de commande et contrôle. Ces derniers sont
d’ailleurs toujours en activité.
Trend Micro pense que XAgent a été créé
en priorité pour infecter les terminaux sous iOS 7. Sur cette version du
système, l’application se lance automatiquement en tâche de fond, sans
qu’il n’apparaisse dans la liste des applications. Mais sur iOS 8, il
n’est pas caché.
Lire aussi :
Une faille dans iOS permet de diffuser des clones malveillants d’applis réelles, le 12/11/2014
WireLurker, un nouveau malware qui utilise Mac OS X pour attaquer iOS, le 06/11/2014
WireLurker, un nouveau malware qui utilise Mac OS X pour attaquer iOS, le 06/11/2014