Le fournisseur d’antivirus Kaspersky a découvert une campagne de logiciels malveillants visant explicitement à infecter les iPhone exécutant iOS 15.7 via iMessage, mais elle peut être trouvée et empêchée.

malware iPhone, malware iOS 15, iOS 15.7

L’équipe de Kaspersky a identifié un comportement potentiellement suspect sur plusieurs appareils iOS. Cependant, en raison de limitations de sécurité qui limitent l’examen interne direct des appareils iOS, l’entreprise a dû générer des sauvegardes hors ligne pour mieux comprendre la situation.

Ces sauvegardes ont ensuite été analysées à l’aide du mvt-ios (Mobile Verification Toolkit for iOS), aboutissant à l’identification d’indicateurs de compromission. L’attaque se produit lorsque l’appareil iOS ciblé reçoit un message via la plate-forme iMessage.

Le message inclut une pièce jointe qui contient un exploit. Cet exploit, créé explicitement en tant que mécanisme sans clic, déclenche une vulnérabilité au sein du système, permettant à un code malveillant de s’exécuter sans nécessiter aucune interaction de l’utilisateur.

malware iPhone, malware iOS 15, iOS 15.7

Après cela, l’exploit commence à récupérer plus d’étapes à partir du serveur de commande et de contrôle (C&C). Ces étapes incluent plusieurs exploits conçus spécifiquement pour l’élévation des privilèges.

Une fois le processus réussi, une plate-forme APT (Advanced Persistent Threat) complète est téléchargée à partir du serveur C&C, établissant un contrôle absolu sur l’appareil et les données utilisateur. L’attaque supprime le message initial et exploite la pièce jointe pour garder son caractère secret.

Fait intéressant, la boîte à outils malveillante n’est pas persistante, ce qui indique que les limitations de l’environnement iOS peuvent être un facteur limitant. Cependant, les appareils pourraient être réinfectés au redémarrage par une autre attaque.

De plus, Kaspersky a indiqué que l’attaque avait en fait touché les appareils exécutant des versions iOS jusqu’à 15.7 en juin 2023. Cependant, il reste incertain si la campagne exploite une vulnérabilité zero-day récemment découverte dans les anciennes versions d’iOS.

L’équipe de Kaspersky mène une enquête sur la charge utile finale du logiciel malveillant, qui fonctionne avec les privilèges root. Ce logiciel malveillant possède la capacité de collecter des données utilisateur et système ainsi que d’exécuter du code arbitraire qui est téléchargé en tant que modules de plug-in à partir du serveur C&C.

Cependant, les experts disent qu’il est possible d’identifier de manière fiable si un appareil a été compromis. De plus, lorsqu’un nouvel appareil est configuré en migrant les données utilisateur d’un appareil précédent, la sauvegarde iTunes de cet appareil gardera des traces de la compromission qui s’est produite sur les deux appareils, avec des horodatages précis.

Le billet de blog de Kaspersky fournit des directives complètes pour déterminer si votre appareil iOS est infecté par des logiciels malveillants. Le processus implique l’utilisation de l’application Terminal pour installer le logiciel et inspecter des fichiers spécifiques.

  1. Créez une sauvegarde avec idevicebackup2 avec la commande « idevicebackup2 backup — full $backup_directory ».
  2. Après cela, installez MVT à l’aide de la commande « “pip install mvt ».
  3. Plus tard, les utilisateurs peuvent inspecter la sauvegarde à l’aide de la commande « mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory ».
  4. Enfin, vérifiez le fichier timeline.csv pour les indicateurs avec des lignes d’utilisation des données qui mentionnent le processus nommé « BackupAgent ».

Ce binaire spécifique est considéré comme obsolète et ne devrait normalement pas être présent dans la chronologie d’utilisation de l’appareil pendant le fonctionnement normal.

Il est important de noter que ces étapes nécessitent un certain niveau d’expertise technique et ne doivent être tentées que par des utilisateurs expérimentés. La mise à jour vers iOS 16 est le moyen le meilleur et le plus simple de vous protéger.

1 COMMENTAIRE

Partager un commentaire