De nouvelles analyses de Predator montrent que ce spyware pour iPhone ne se contente pas d’espionner : il repère les outils des chercheurs, coupe les voyants d’enregistrement et efface soigneusement ce qu’il laisse derrière lui.
Découvert en fin d'année dernière, Predator est un logiciel espion mercenaire capable de prendre le contrôle d’un smartphone à partir d’un simple lien piégé. Les travaux récents publiés par Jamcf Threat Labs, tentent de décortiquer le malware et montrent concrètement comment l’outil s’organise pour éviter l’analyse tout en restant invisible pour la personne ciblée.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Predator, dans les détails
Jamf décrit une brique interne appelée CSWatcherSpawner. Cette dernière sert en quelque sorte de vigile avant que l’implant ne se mette vraiment au travail. Predator commence par examiner l’iPhone : il regarde si le mode développeur est activé via un appel système spécifique, cherche des signes de jailbreak comme Cydia ou certains dossiers APT, et surveille les processus pour repérer des outils connus des spécialistes, par exemple Frida, tcpdump, netstat ou des applis de sécurité mobiles. Si quelque chose cloche, il coupe court, envoie un code d’erreur détaillé à son serveur, puis nettoie ses fichiers temporaires pour ne rien laisser traîner.
Ces codes d’erreurs, numérotés entre 301 et 311, servent de langage interne entre l’implant et son opérateur. Chaque numéro correspond à un scénario : environnement d’analyse détecté, outil de sécurité présent, paramètre système suspect, etc. Certains numéros manquent dans la liste, ce qui laisse penser qu’il existe d’autres cas prévus, non documentés, ou des fonctions retirées en cours de route.
Le spyware va aussi assez loin sur la partie anti‑forensique, c’est‑à‑dire tout ce qui vise à compliquer le travail des enquêteurs. Il surveille par exemple le dossier qui contient les rapports de crash d’iOS et réagit dès qu’un fichier lié à la mémoire système apparaît en tuant le processus mmaintenanced, chargé de gérer ces données. Le but est d’éviter qu’un plantage ne génère un fichier que des analystes pourraient exploiter pour remonter jusqu’à lui.
Enfin, Predator s’attaque à un repère très concret pour les utilisateurs d’iPhone : les pastilles orange et verte. Celles-ci indiquent l’utilisation du micro ou de la caméra. Selon Jamf, il s’appuie sur des failles au niveau du noyau pour s’injecter dans SpringBoard, la partie d’iOS qui gère notamment l’écran d’accueil et ces voyants. Puis, il modifie le composant SBRecordingIndicatorManager pour les désactiver. Résultat : le micro ou la caméra peuvent être allumés à distance sans aucune alerte visuelle, alors que ces pastilles ont justement été ajoutées par Apple avec iOS 14 pour donner un signal clair aux utilisateurs.
Predator est développé par Intellexa, un acteur du marché du spyware commercial. Entre les chaînes d’exploits zero‑day, le moteur d’anti‑analyse pointu et la possibilité de couper les voyants d’enregistrement, tout montre que cet outil vise des cibles bien identifiées.
