Ce malware iOS simule un arrêt critique de l'iPhone pour éviter d’être supprimé

Le dos d'un iPhone
(Crédit photo: Future)

Les chercheurs en cybersécurité de ZecOps ont fait la démonstration d'un nouveau processus exploité par divers logiciels malveillants sous iOS. Une technique pernicieuse qui consiste à provoquer l’arrêt critique d’un iPhone pour empêcher l’utilisateur de bloquer ou de supprimer le malware détecté.  

Habituellement, un logiciel malveillant ciblant iOS peut être éliminé en redémarrant votre smartphone (ou votre tablette), car cela l'efface de la mémoire. Cependant, une souche de logiciel malveillant peut potentiellement faire croire à la victime que l'appareil a été éteint - ce qui n’est pas le cas -, restant ainsi opérationnel. 

Le logiciel malveillant de démonstration, baptisé "NoReboot", suit plusieurs étapes. Tout d'abord, le déclenchement du redémarrage : les utilisateurs d’un appareil iOS doivent maintenir le bouton d'alimentation et l'un ou l'autre des boutons de volume, jusqu'à ce que le curseur avec l'option de redémarrage apparaisse. Ensuite, ils doivent interagir avec le curseur pour déclencher l'arrêt.

Un tour de passe-passe habile

La première étape se retrouve détournée ici. Au lieu de déclencher l'arrêt de l’appareil, le malware envoie un code spécialement conçu, rendant le smartphone ou la tablette insensible aux commandes de l'utilisateur. Ensuite, il déclenche l'indicateur du processus d'arrêt (la roue qui tourne) et commence à surveiller les actions liées aux boutons comme à l’écran.

Ainsi, le logiciel malveillant saura quand la victime essaiera d'allumer l'appareil et l'empêchera d'appuyer trop longtemps sur le bouton d'alimentation pour opérer un redémarrage à froid.

"Cela permet de fermer tous les processus et de redémarrer le système sans toucher au noyau. Les codes malveillants n'auront donc aucun problème à continuer de fonctionner après ce type de redémarrage. L'utilisateur n’y voit que du feu, avec le logo Apple apparaissant au redémarrage", expliquent les chercheurs.

Par conséquent, il est impossible pour les utilisateurs de détecter physiquement si l'appareil a été éteint ou non. BleepingComputer estime qu'il s'agit d'un contournement basique et non d’une nouvelle menace ou faille de sécurité. Tant et si bien qu'Apple pourrait ne pas prendre la peine de l’éradiquer.

On ne sait toujours pas comment ce type de logiciel malveillant gère les autres signaux d'alarme potentiels, comme l'invite à saisir le code PIN de la carte SIM après chaque redémarrage, ou ce qui se passe si l'utilisateur décide d'éteindre l'appareil en se rendant dans Paramètres>Général>Arrêter.

Via BleepingComputer

TOPICS

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.