L'opération Triangulation cible les appareils iOS avec de nouveaux logiciels malveillants

apple ios iphone

Tout en surveillant le trafic réseau de leur réseau Wi-Fi d'entreprise dédié aux appareils mobiles, les chercheurs de Securelist ont détecté une activité suspecte provenant de plusieurs téléphones iOS. En raison des limites inhérentes à l'inspection interne des appareils iOS modernes, les chercheurs ont choisi de créer des sauvegardes hors ligne des appareils en question et de les analyser à l'aide de l'outil mvt-ios de Mobile Verification Toolkit. Grâce à cette analyse, ils ont découvert des preuves de compromis, conduisant à l'identification d'une campagne appelée "Opération Triangulation".

En examinant les sauvegardes des appareils mobiles, qui englobent une réplique partielle du système de fichiers, y compris les données des utilisateurs et les bases de données de service, les chercheurs ont pu utiliser les horodatages des fichiers et des dossiers, ainsi que les enregistrements de la base de données, pour reconstruire une chronologie approximative des événements sur le compromis. dispositifs. L'utilitaire mvt-ios a facilité la création d'un fichier de chronologie trié appelé "timeline.csv", semblable aux super-chronologies utilisées dans les outils médico-légaux numériques traditionnels.

En tirant parti de cette chronologie, les chercheurs ont réussi à identifier des artefacts spécifiques qui indiquaient le compromis. Cette découverte a fait avancer leurs recherches, leur permettant de décrire la séquence générale de l'infection comme suit :

  • L'appareil iOS ciblé reçoit un iMessage contenant une pièce jointe chargée d'exploits.
  • Le message déclenche une vulnérabilité au sein de l'appareil, entraînant l'exécution de code sans aucune interaction de l'utilisateur.
  • L'exploit procède au téléchargement de plusieurs étapes ultérieures à partir du serveur de commande et de contrôle (C&C), y compris les exploits d'élévation de privilèges.
  • Après une exploitation réussie, une plate-forme de menace persistante avancée (APT) complète, servant de charge utile finale, est téléchargée à partir du serveur C&C.
  • Le message initial et la pièce jointe de l'exploit sont supprimés pour couvrir les pistes.

En raison des limitations du système d'exploitation, l'ensemble d'outils malveillants manque de persistance. Par conséquent, les chronologies de plusieurs appareils suggèrent la possibilité d'une réinfection après le redémarrage. Les premières traces d'infection identifiées remontent à 2019. En juin 2023, l'attaque est toujours en cours, ciblant les appareils exécutant iOS 15.7, la dernière version au moment de la rédaction.
L'analyse de la charge utile finale est toujours en cours. S'exécutant avec des privilèges root, le code implémente une gamme de commandes pour collecter des informations système et utilisateur et peut exécuter du code arbitraire obtenu sous forme de modules de plug-in à partir du serveur C&C.

Il est crucial de noter que malgré les logiciels malveillants incorporant des segments de code spécifiques dédiés à l'effacement des traces de compromission, il est toujours possible de déterminer de manière fiable si un appareil a été compromis. De plus, si un nouvel appareil est configuré en migrant les données utilisateur d'un appareil plus ancien, la sauvegarde iTunes des deux appareils contiendra des traces de compromis avec des horodatages précis.

Pourquoi iOS Phone Malware est difficile à disséquer ?

Les logiciels malveillants pour téléphones iOS sont généralement considérés comme plus difficiles à disséquer que les logiciels malveillants ciblant d'autres systèmes d'exploitation, tels qu'Android. Il y a plusieurs raisons à cela:

Écosystème fermé : iOS est un écosystème fermé, ce qui signifie qu'Apple contrôle étroitement la distribution du matériel, des logiciels et des applications sur ses appareils. Cette nature fermée rend plus difficile pour les logiciels malveillants de s'implanter et de se propager au sein du système.

Processus d'examen de l'App Store : L'App Store a un processus d'examen strict où chaque application est examinée avant d'être mise à disposition pour téléchargement. Ce processus aide à empêcher la diffusion à grande échelle d'applications malveillantes. Bien que cela n'élimine pas complètement la possibilité de passage de logiciels malveillants, cela fournit une couche de protection supplémentaire.

Sandboxing : les applications iOS sont en bac à sable, ce qui signifie qu'elles fonctionnent dans leur propre environnement restreint et ont un accès limité aux ressources et données système sous-jacentes. Cet isolement empêche les logiciels malveillants de se propager facilement dans différentes parties du système.

Signature de code et chiffrement : les applications iOS doivent être signées par un certificat de développeur délivré par Apple. Cette signature de code garantit que seuls les développeurs autorisés peuvent créer et distribuer des applications. De plus, iOS utilise des mesures de cryptage solides, ce qui rend difficile l'analyse et la falsification du code de l'application.

Privilèges utilisateur limités : iOS limite les privilèges utilisateur, empêchant les applications d'accéder aux zones sensibles de l'appareil sans l'autorisation explicite de l'utilisateur. Cette limitation réduit l'impact potentiel des logiciels malveillants.

Bien qu'iOS offre plusieurs fonctionnalités de sécurité, il est important de noter qu'aucun système n'est complètement à l'abri des logiciels malveillants. Il y a eu des cas de logiciels malveillants iOS, mais en raison des facteurs mentionnés ci-dessus, ils ont tendance à être moins répandus par rapport aux autres plates-formes. Cependant, à mesure que la technologie progresse, les créateurs de logiciels malveillants s'adaptent en permanence et trouvent de nouvelles façons d'exploiter les vulnérabilités, ce qui nécessite des mesures de sécurité et une vigilance continues.

Par Zaib
June 23, 2023
Computer Security
Français
June 23, 2023
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.