Détecter le logiciel espion Predator sur le téléphone
Cytrox, une importante entreprise macédonienne de cybersécurité, s'est fait connaître en 2021 pour le développement et la diffusion du logiciel espion Predator ciblant les iPhones. Ce logiciel espion sophistiqué a réussi à infiltrer iOS 14.6, la dernière version du système d'exploitation à l'époque, grâce à des liens accessibles en un clic via la célèbre plateforme de messagerie WhatsApp. Predator persiste après le redémarrage grâce à la fonction d'automatisation d'iOS.
Le logiciel espion Predator a vraisemblablement été déployé par des entités gouvernementales, notamment celles d'Arménie, d'Égypte, de Grèce, d'Indonésie, de Madagascar, d'Oman, d'Arabie saoudite et de Serbie. Ses cibles sont très diverses, allant de l'opposition politique et des journalistes aux présentateurs de programmes d'information influents, ce qui témoigne d'une opération de surveillance de grande envergure. Il convient toutefois de noter que l'entreprise opère actuellement sous différents noms dans l'Union européenne.
Une fois le chargeur Predator activé, il lance le téléchargement de scripts Python sur votre iPhone pour en prendre le contrôle. Après avoir chargé la configuration Predator, le chargeur iOS purge les journaux de plantage de l'appareil, supprimant ainsi tous les fichiers associés. Il récupère ensuite un fichier de configuration et les étapes suivantes du logiciel espion sur le serveur désigné.
Sur iOS, le chargeur Predator exécute une fonction chargée de télécharger un raccourci automatique iOS depuis le serveur de logiciels espions, garantissant ainsi sa persistance. Cette automatisation est conçue pour s'activer au lancement d'applications spécifiques, notamment de nombreuses applications Apple intégrées.
Au total, plus de 44 applications sont méticuleusement surveillées, notamment l'App Store, l'appareil photo, Mail, Maps et Safari, ainsi que des applications tierces populaires telles que Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal et Telegram.
Le raccourci Predator fonctionne entièrement en arrière-plan, restant invisible pour l'utilisateur. Cette discrétion est obtenue grâce à la modification d'un paramètre par Predator pour désactiver les notifications déclenchées par l'automatisation. Cytrox et son logiciel espion Predator sont relativement méconnus, contrairement à Pegasus .
Comment détecter les logiciels espions Predator sur iOS
Pour vérifier si le logiciel espion Predator a été installé sur votre iPhone, il est nécessaire de créer une sauvegarde de votre appareil. Par la suite, l'utilisation d'un outil comme MVT est indispensable pour déterminer la présence du logiciel espion Cytrox sur votre appareil.
MVT utilise divers indicateurs tels que les logiciels malveillants, les relations, les fichiers groupés, les noms de domaine et les identifiants Apple associés à la compromission de votre appareil, ainsi que la surveillance des processus en cours pour détecter efficacement l'installation de Predator. MVT utilise l'indicateur cytrox.stix2 pour identifier et détecter les logiciels espions Predator dans la sauvegarde de votre iPhone.
Remarque : Les sauvegardes iOS chiffrées contiennent des enregistrements supplémentaires intéressants, inaccessibles dans leurs versions non chiffrées. Ces données importantes, telles que l'historique et l'état de Safari, ainsi que d'autres informations pertinentes, améliorent l'analyse forensique.
Suivez les étapes pour détecter le logiciel espion Predator sur iOS :
Étape 1. Installez Mobile Verification Toolkit sur le bureau.
Étape 2. Connectez votre iPhone à votre ordinateur via un câble USB.
Étape 3. Créez une sauvegarde iPhone (cryptée) à l’aide d’iTunes ou d’outils de ligne de commande.
Étape 4. Ouvrez votre application de terminal préférée.
Étape 5. Exécutez la commande suivante pour décrypter la sauvegarde iOS .
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directoryÉtape 6. Saisissez le mot de passe pour le cryptage du fichier de sauvegarde iOS.
Étape 7. Mettez à jour les indicateurs MVT vers la dernière version.
mvt-ios download-iocsÉtape 8. Analysez la sauvegarde iOS avec MVT pour déterminer si le logiciel espion Predator a été installé.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directoryÉtape 9. Affichez l’invite de ligne de commande pour l’état de détection du logiciel espion Predator.
Étape 10. Pour une analyse plus approfondie, vous pouvez parcourir les fichiers $mvt_output_directory.
