Sur iPhone, un nouveau malware vous épie via la caméra (même si vous pensez l'avoir éteinte)

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 07 janvier 2022 à 17h36

Un nouveau cheval de Troie imputé à iOS et à l'iPhone a été découvert par des chercheurs en cybersécurité. Celui-ci serait capable de simuler l'extinction (électrique) de l'appareil et d'utiliser sa caméra, même lorsqu'il est éteint.

C'est une start-up californienne spécialisée dans l'analyse des cyberattaques mobiles, ZecOps, qui a fait cette découverte. Elle est parvenue à démontrer qu'un nouveau malware peut être exploité sur iOS et qu'il permet aux attaquants de faire des choses « amusantes ». Ce nouveau cheval de Troie est en effet capable de donner l'illusion à son utilisateur que son iPhone est éteint, alors qu'il est en réalité en train de l'espionner à l'aide de son microphone et de sa caméra. Difficile de faire mieux en matière de malware persistant.

Vous pensiez votre iPhone éteint…

La théorie (mais vous savez ce qu'on en dit !) veut que généralement, après avoir supprimé un logiciel malveillant de son appareil iOS, il suffit de redémarrer ce dernier pour définitivement effacer de sa mémoire les traces du malware. Sauf que l'équipe de chercheurs de ZecOps s'est aperçue que l'iPhone était faillible à ce niveau-là, et que n'exploitant pas une faille de la plateforme iOS, elle ne peut pas être corrigée par Apple.

Quelle est l'originalité de ce malware, dont ZecOps est parvenu à prouver l'efficacité ? On pourrait presque parler de magie, car ce trojan peut empêcher l'utilisateur de redémarrer manuellement son iPhone infecté, tout en faisant croire à son propriétaire que le téléphone a bien été éteint puis redémarré. Ce tour de passe-passe, qui fait du malware un petit diable persistant, lui a donné son nom : « NoReboot ».

Mais comment parvient-il à empêcher l'arrêt véritable de l'appareil tout en simulant le redémarrage ? Les spécialistes arrivent en réalité à « détourner l'événement d'arrêt de l'appareil ». En fait, au lieu d'arrêter l'iPhone, le malware va injecter du code dans des démons iOS : InCallService, SpringBoard et BackBoardd. Généralement, InCallService envoie un signal d'arrêt à SpringBoard, quand vous éteignez manuellement votre iPhone. Sauf qu'ici, InCallService n'envoie pas le signal à SpringBoard, mais il demande à SpringBoard et BackBoardd d'exécuter le code injecté dont nous parlions.

Les démons modifiés par NoReboot (© ZecOps)

Un malware qui use de fourberie et de contournement pour donner l'illusion de l'extinction et du redémarrage de l'appareil

La combine fonctionne jusqu'au bout, et le cheval de Troie poursuit le processus d'arrêt, jusqu'à la roue qui tourne, qui disparaît très rapidement et crée cette illusion du téléphone éteint. Sauf que l'iPhone est toujours allumé et connecté à Internet, même s'il ne répond plus. En réalité, seuls les signaux audio et visuels sont désactivés, comme l'écran, le vibreur ou le son.

Une fois le tour de passe-passe validé, que peuvent faire les attaquants ? Pendant que vous pensez que votre téléphone est éteint, l'attaquant peut tout simplement utiliser votre caméra et votre microphone. Le malware, qui tient plus du contournement, de la tromperie que de la vulnérabilité iOS, se contente alors d'un rôle - déjà suffisamment grave - d'espion. Surtout que NoReboot peut aussi simuler le redémarrage de l'appareil.

Le cheval de Troie joue encore avec les démons iOS. Si le propriétaire de l'iPhone décide de redémarrer le téléphone encore en marche, le Backboardd, calé sur les saisies de l'utilisateur, peut simuler un redémarrage, allant même jusqu'à afficher le logo Apple, comme il a affiché la roue qui tourne au moment de la fausse extinction. En faisant croire à l'extinction et au redémarrage de l'appareil, le malware est ainsi persistant.

Malwarebytes explique de son côté que « ce n'est qu'une question de temps avant que les hackers sévissant sur iOS commencent à l'intégrer dans leurs kits de logiciels malveillants ». Dans le cas où vous redoutiez avoir été compromis, votre persistance sera plus forte que celle du malware. Ainsi, même après l'apparition du logo Apple, maintenez les boutons de redémarrage enfoncés et passez au-dessus de la supercherie, ce qui finira par vraiment éteindre, puis redémarrer l'iPhone.

Sur le même sujet :
Predator : surprise, Pegasus n'est pas le seul spyware visant politiciens, activistes et journalistes

Sources : GitHub-ZecOps, Malwarebytes

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

flonc

Redémarrer ne supprime pas vraiment les virus. Au mieux ça va tuer les taches non persistantes.
Pour supprimer un virus:

vider le cache si c’est limité au browser
supprimer l’appli malveillante si c’est une app
factory reset si la configuration est compromise
Dfu reset si l’os ou les firmware sont compromis. De préférence sans restauration ou avec une qui précède la date de compromission
changer de téléphone et de compte si situation vraiment critique.

Les téléphones sont du hardware et du code comme tout le reste et peuvent être compromis à tous les niveaux. Il n’y a pas de magie

Kriz4liD

Une simple mise à jours fera certainement l’affaire.

tfpsly

Si ce machin bloque les redémarrages, il doit bien pouvoir bloquer les màj.

Thx

Sauf que le tel ne demande ni code pin ou code de déverrouillage au redémarrage ce qui est un peu louche …

HAL1

Waow, à la fois effrayant mais aussi impressionnant ! Sachant que le grand public se fait déjà tromper par des imitations de fenêtres sur le Web, on peut imaginer les dégâts que ferait un tel logiciel malveillant.

Sinon, on s’aperçoit encore une fois que la soit-disant sécurité supérieures d’iOS n’est qu’un mythe.

Infinity205

Ceci n’est pas spécifique as Apple ,toute personne qui possède un appareil qui contiens une caméra peux être surveillé et épié as distance. C’est pour ça que beaucoup de monde mettent des caches sur leur caméras. D’ordis notamment hein.

crush56

Je crois que tu n’as pas totalement saisis l’article

zeebix

Oui c’est possible sur tout appareil, mais ici c’est du concret, pas une histoire de peur, méfiance ou parano.

Comme quoi iOS c’est au final pareil qu’un Android, et ce en seulement moins d’un an 2 problèmes de sécurités plutôt important.

HAL1

Un conseil : lis l’article avant de poster un commentaire, ça t’évitera de raconter des bêtises.

Blackalf

On ne va pas relancer une enième bataille entre pro-Apple et anti-Apple, on sait comment ça tourne à chaque fois.