Trend Micro prévient de l'apparition d'un nouveau malware pour iOS, qui attaque les terminaux mobiles non jailbreakés. Une fois installé, le spyware, baptisé XAgent, collecte les messages texte, le carnet d'adresses, les photos, les données de géolocalisation, la liste des applications installées et de leurs données traitées en tâche de fond, ainsi que le statut Wi-Fi de l'appareil. XAgent sait aussi activer le micro de l'iPhone et enregistrer en douce l'environnement sonore. Une fois agglomérées, ces informations sont transmises à un serveur distant détenu par les hackers.
Le spyware fonctionne sur iOS 7 et iOS 8, même si sur ce dernier, il n'est pas masqué : il est donc nécessaire que l'utilisateur lance l'application maligne pour que XAgent remplisse son office malveillant. Sous iOS 7, le logiciel espion roule en tâche de fond et son icône est cachée. Trend Micro estime que XAgent a été développé avant qu'iOS 8 ne soit disponible. De fait, l'app ne peut infecter qu'une petite partie de la base d'appareils iOS (lire : iOS 8 brise le plafond de verre des 70%).
Le spécialiste en sécurité informatique estime que cette opération d'infection d'iOS fait partie de l'Operation Pawn Storm, une initiative à grande échelle provenant d'un groupe pro-Russe dont les cibles sont les organisations militaires, les représentations diplomatiques, les médias. Beaucoup de ces utilisateurs se servant d'appareils mobiles d'Apple, le groupe de pirates s'est donc tout naturellement intéressé à la plateforme iOS.
Tout cela peut inquiéter, mais la méthode d'infection nécessite une certaine implication de la part de l'utilisateur. XAgent ne se télécharge pas depuis l'App Store, mais en suivant la méthode ad-hoc, utilisée par les développeurs pour distribuer une application à un groupe d'utilisateurs plus facilement qu'en passant par les fourches caudines d'Apple. De fait, il faut vraiment le vouloir pour être touché par ce malware… Attention cependant, Trend Micro explique que le jeu MadCap, disponible de façon tout à fait normale sur l'App Store, contient lui aussi un spyware de la même famille (qui lui, enregistre l'environnement audio sans autorisation); mais il ne peut s'activer que sur un terminal débloqué.
