Votre iPhone est-il déjà infecté ?

24 Juin 2014

C’est un phénomène bien connu, 98% des malwares pour smartphone s’attaquent à Android. Cela est dû au fait que les applications iOS ne sont téléchargeables que depuis l’App Store et il est géré par des êtres humains. Apple fait d’ailleurs un travail impressionnant pour prévenir l’entrée des logiciels malveillants dans sa boutique. En revanche, ces mesures sont uniquement efficaces pour prévenir les malwares de masse, qui ont pour objectif d’infecter plusieurs utilisateurs. La situation est complètement différente lorsque quelqu’un décide de vous espionner personnellement. Cela peut paraître surprenant, mais nul besoin d’être un homme d’affaires influant ou un activiste politique pour être victime d’espionnage. D’autres critères peuvent également vous faire entrer dans la catégorie  » suspects  » ou  » dignes d’intérêt « , comme nous le verrons plus loin. Dans ce cas, une agence d’espionnage pourrait avoir contaminé votre iPhone.

Dans certains pays, les agences gouvernementales peuvent pénétrer dans l’ordinateur d’un suspect pour le  » surveiller  » ou pour la collecte d’éléments de preuve. Pour ce faire, les agences utilisent généralement des spywares  » légaux « , et il existe des sociétés internationales qui développent et vendent ce type de logiciel. Une de ces compagnies se nomme HackingTeam et elle développe des logiciels de commande à distance (RCS) comme Galileo. Kaspersky Lab surveille depuis un certain temps les infrastructures RCS et a détecté des  » implants  » de malwares sur Windows provenant de ces mêmes infrastructures. En effet, nous avons trouvé à l’intérieur plusieurs indices de fichiers malveillants qui annonçaient l’existence d’  » implants  » pour smartphones. Au cours de nos plus récentes recherches avec Morgan Marquis-Boire de Citizen Lab, nous avons découvert de nouvelles variantes de malware. Ces nouveaux spécimens sont des chevaux de Troie qui affectent à la fois Android et iOS.

Un malware qui cible iOS

La nouveauté majeure, identifiée au cours de nos recherches sur les RCS, est la méthode utilisée pour infecter les iPhones. L’ordinateur de la victime est d’abord contaminé par un malware Windows ou Mac OS. Les vecteurs d’infection sont chaque fois différents et peuvent inclure des astuces d’ingénierie sociale, des exploits et des attaques d’hameçonnage. Le malware reste tranquillement dans l’ordinateur et effectue des activités d’espionnages typiques, comme l’enregistrement de frappe, puis il attend que la victime connecte son smartphone pour exécuter une synchronisation avec iTunes. Si l’opérateur du spyware approuve l’infection du smartphone, le cheval de Troie tentera de débloquer l’iPhone connecté puis il installera le composant d’espionnage. À ce moment, l’iPhone redémarrera et c’est probablement la seule manifestation visible de ce qui est en train de se produire. Un malware est relativement intelligent et il peut déployer de multiples mécanismes pour nous espionner discrètement. Par exemple, il se met uniquement en marche lorsqu’il est tout près d’un certain réseau Wi-Fi, ou lorsque le chargeur est connecté. En plus, il ne cause pas d’épuisement majeur de la batterie afin de ne pas alerter la victime.

Le cheval de Troie ciblant iOS est intelligent et espionne discrètement : il n’épuise pas la batterie.

Les chevaux de Troie RSC pour mobile sont capables d’effectuer tous les types d’espionnages dont vous pouvez vous attendre de la part de ce type d’outil ; localisation géographique, prise de photo, lecture des SMS, des messages WhatsApp et autres, vol des contacts, etc.

Évidemment, certaines limitations existent, qui, quelquefois, empêchent les pirates d’attaquer un iPhone. Premièrement, l’iPhone doit utiliser une version d’iOS qu’il est possible de « jailbreaker » – par exemple, il est impossible de « jailbreaker » les versions les plus récentes du système d’exploitation d’Apple, mais les versions précédentes sont quant à elles vulnérables. Deuxièmement, l’iPhone doit être déverrouillé au moment du jailbreak. Mais la réunion de ces deux conditions n’est pas rare et les utilisateurs de spyware ont sans aucun doute réussi plusieurs fois à contaminer des iPhones.

Les victimes

La liste des victimes présentée dans la dernière recherche, menée conjointement par Kaspersky Lab et son partenaire, Citizen Lab, comprend des activistes, des défenseurs des droits humains, des politiciens et des journalistes. Par contre, la nature de l’intérêt qui était porté à certaines victimes demeure ambigüe,comme c’est le cas d’un britannique qui était professeur d’histoire au lycée.

Kaspersky Lab, Sergey Golovanov

La majorité des serveurs de contrôle des RCS démasqués étaient basés aux États-Unis, au Kazakhstan, en Équateur, en Grande-Bretagne et au Canada. Sergey Golovanov, chercheur en sécurité chez Kaspersky Lab affirme :  » La présence de ces serveurs dans un pays donné ne signifie pas qu’ils sont utilisés par les agences chargées de l’application de la loi du dit pays. Par contre, il est logique que les utilisateurs des RCS déploient leurs serveurs dans un emplacement qu’ils contrôlent, où les risques de saisies de leurs serveurs ou de problèmes juridiques transfrontaliers sont minimaux.  »

Protection

Pour éviter les risques d’infection, les experts de Kaspersky Lab vous conseillent tout d’abord de ne pas jailbreaker votre iPhone. Ensuite, effectuez toujours les mises à jour de votre système d’exploitation. Finalement, avoir un logiciel de sécurité robuste sur votre ordinateur réduit considérablement les risques de contagion.