Fournisseur de cybersécurité et d’antivirus Kaspersky partagé un rapport jeudi concernant une nouvelle attaque de logiciel espion contre les appareils iOS. Après avoir détecté une activité suspecte sur plusieurs iPhones, les experts en sécurité de Kaspersky ont créé des sauvegardes hors ligne de chaque appareil afin de les inspecter tous à l’aide du Mobile Verification Toolkit pour iOS. Le fichier produit par le MVT comportait un certain nombre d’indicateurs suggérant que les iPhones avaient effectivement été compromis.

Kaspersky a surnommé cette campagne de logiciels espions « Opération Triangulation ».

Selon Kaspersky, le logiciel espion peut infecter les iPhones sans aucune action de l’utilisateur. Tout d’abord, l’utilisateur de l’iPhone reçoit un iMessage invisible avec une pièce jointe malveillante contenant l’exploit. Ce message déclenche alors une vulnérabilité qui conduit à l’exécution de code, que l’utilisateur interagisse ou non avec le message.

À ce stade, le code commence à télécharger des étapes supplémentaires à partir d’un serveur de commande et de contrôle (C&C), qui installe encore plus d’exploits iOS pour l’élévation des privilèges. Une fois l’iPhone exploité, une charge utile finale est téléchargée avec une plate-forme de menace persistante avancée (APT) entièrement fonctionnelle. Le message initial est ensuite supprimé avec la pièce jointe, et les utilisateurs ne sont pas plus sages car toutes ces étapes se sont déroulées en arrière-plan.

« En raison des particularités du blocage des mises à jour iOS sur les appareils infectés, nous n’avons pas encore trouvé de moyen efficace de supprimer les logiciels espions sans perdre de données utilisateur », a déclaré le PDG Eugene Kaspersky. explique sur son blog. « Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine, en installant la dernière version du système d’exploitation et l’ensemble de l’environnement utilisateur à partir de zéro. Sinon, même si le logiciel espion est supprimé de la mémoire de l’appareil après un redémarrage, la triangulation est toujours capable de réinfecter à travers les vulnérabilités d’une version obsolète d’iOS.

Kaspersky affirme que les plus anciennes traces d’infection remontent à 2019, mais le logiciel espion infecte toujours les iPhones à ce jour. La bonne nouvelle est que l’attaque n’a été détectée jusqu’à présent que sur les iPhones exécutant iOS 15.7 ou une version antérieure. iOS 15.7 a été déployé en septembre 2022 et le portail des développeurs d’Apple montre que plus de 80% de tous les iPhones exécutent au moins iOS 16.

Pour ce que ça vaut, Eugene Kaspersky affirme que son entreprise « n’était pas la cible principale de cette cyberattaque ». On ne sait pas pourquoi tant d’appareils Kaspersky ont été touchés, quelle est l’étendue réelle de l’attaque de logiciels espions ou si l’utilisateur moyen d’iPhone est à risque ou non. En attendant, c’est une raison de plus pour maintenir à jour le système d’exploitation de votre iPhone.