Actu
Une entreprise européenne victime du malware mobile Predator
janvier 2022 par Bastien Bobe Security Sales Engineer Europe du Sud chez Lookout
Le malware mobile Predator est-il la relève du malware Pegasus ? Comment fonctionne-il ?
L’entreprise israélienne NSO Group, à l’origine du bien connu Pegasus, n’est pas la seule entreprise à proposer ses services d’hacking de mobile sur mesure. Citizen Lab a révélé récemment un programme de même ampleur, développé par l’entreprise Cytrox, elle aussi israélienne. Le nom de ce nouveau programme n’est autre que « Predator ».
Une entreprise industrielle européenne a dès à présent déjà été ciblée par Predator en décembre 2021. A l’heure actuelle, nous savons que l’iPhone 11 attaqué de l’entreprise en question était géré par un mot de passe. Son utilisateur, employé au service Marketing, ne se souvient pas avoir reçu de messages WhatsApp malveillants avant l’infection. Or les messages WhatsApp sont souvent la méthode d’attaque de cette pratique. Aujourd’hui nous savons que l’iPhone 11 attaqué était en version 14.8, donc une version vulnérable.
Selon Citizen Lab, 8 pays se seraient procuré Predator à ce jour : l’Arabie Saoudite, le sultanat d’Oman, la Serbie, la Grèce, Madagascar, l’Arménie, l’Indonésie et l’Égypte. Le logiciel aurait déjà touché deux cibles au sein de l’Etat égyptien : le réfugié politique Ayman Nour, opposant au pouvoir en place et un présentateur TV. De plus, le propriétaire de l’iPhone 11 avait passé trois semaines en Egypte peu de temps avant l’infection.
Nous savons désormais que de nombreuses applications Apple sont sensibles aux attaques réalisées par Predator telles que Safari, l’App Store, Plans mais aussi l’appareil photo ou encore Mail. Des applications de messageries chiffrées de bout en bout telles que Signal et Telegram sont aussi concernées.
Une analyse de l’iPhone 11 par Lookout a permis de mettre en avant que l’attaque était toujours active sur le terminal et que le terminal essayait d’accéder à des serveurs de Command & Control pour exfiltrer des informations.
Des fichiers malveillants et ses indicateurs de compromission ont été relevé sur le terminal. L’utilisateur a changé de terminal et les processus de l’attaque se sont répliqués sur le second smartphone lors du transfert de données. Le second étant un iPhone 13, le mécanisme d’attaque de Predator n’a pas pu s’exécuter. Il est possible que l’iPhone 13 livré en version 15.1.1 ne soit plus vulnérable à la méthode d’attaque.
Lookout a permis à ce client de détecter cette attaque et de réduire instantanément les accès à l’entreprise en isolant le terminal infecté, limitant ainsi une remontée potentielle au sein du système d’information ou un vol de données confidentielles.
Malheureusement, ce n’est pas propre à la version d’iOS 14.8 et les assaillants trouveront toujours de nouvelles failles pour exécuter leur code à distance. On l’a vu avec NSO, ceci est leur manière de fonctionner : toujours chercher et investir dans de nouvelles vulnérabilités.
