Predator, le spyware d’Intellexa déjà impliqué dans plusieurs campagnes d’espionnage, est capable d’activer en douce le micro et la caméra de l’iPhone. Pour la première fois, des chercheurs ont découvert comment le spyware parvient à arriver à ses fins sans se faire prendre.
Les chercheurs de Jamf, un éditeur de logiciels spécialisé dans la gestion et la sécurité des appareils Apple, ont découvert comment le malware espion Predator d’Intellexa parvient à enregistrer et filmer les utilisateurs sans se faire repérer. Impliqué dans plusieurs campagnes d’espionnage contre l’iPhone, le virus est en mesure de désactiver les indicateurs bleu ou orange qui s’affichent à l’écran, dans la barre de statut.
Pour rappel, Apple a introduit ces indicateurs avec la mise à jour iOS 14. Ceux-ci sont programmés pour alerter l’utilisateur lorsqu’une application, ou un logiciel malveillant dissimulé sur l’appareil, a activé la caméra ou le microphone à son insu. Jusqu’ici, personne ne savait comment le maliciel s’y prenait pour bloquer les indicateurs d’iOS. Jamf explique avoir pu analyser les « mécanismes techniques jusqu’alors non documentés du logiciel malveillant ».
À lire aussi : Alerte sur l’iPhone – Apple met en garde contre une cyberattaque « extrêmement sophistiquée »
Voici comment le virus désactive les indicateurs de l’iPhone
Pour passer sous le radar, et arriver à ses fins en toute discrétion, le virus n’exploite pas une nouvelle vulnérabilité du système d’exploitation. En fait, Predator commence par exploiter d’autres failles, déjà connues, qui vont lui permettre d’obtenir des privilèges noyau sur l’iPhone. Une fois que c’est fait, le spyware peut modifier le comportement de composants système clés, dont SpringBoard, le processus qui gère l’écran d’accueil et l’interface.
Le malware va court-circuiter l’activation des indicateurs en interceptant les communications de Springboard. Concrètement, la caméra et le micro vont s’allumer, mais iOS ne sera plus informé de leur activité du côté interface. Les messages internes informant que « la caméra s’allume » ou que « le micro s’allume » n’arrivent jamais au système qui affiche les voyants. De facto, aucun point vert ou orange ne s’affiche à l’écran. Le logiciel malveillant est ainsi capable de se servir du microphone et de la caméra à loisir sans que l’utilisateur ne comprenne qu’il se passe quelque chose d’anormal.
À lire aussi : Pourquoi c’est mieux d’éteindre son smartphone plutôt que de le redémarrer
Les chercheurs ajoutent que Predator active la caméra en se branchant directement sur les commandes internes d’iOS, sans passer par le système normal d’autorisations. Avant de passer à l’action, le virus va scanner le système d’exploitation à la recherche de ces commandes internes. Une fois qu’elles ont été épinglées, le virus va activer les commandes en se faisant passer pour iOS. Le processus est invisible pour le système d’exploitation et ses mesures de sécurité. Les chercheurs parlent d’une opération réalisée de « manière chirurgicale ».
En se cachant à la fois de l’utilisateur et d’iOS, le spyware peut opérer indéfiniment dans l’ombre. Pour rappel, la dernière campagne d’espionnage orchestrée par le spyware d’Intellexa remonte au mois de décembre 2025. Le virus avait espionné des utilisateurs en provenance de 150 pays, dont la France.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.