La sécurité mobile a pris une nouvelle dimension avec la découverte d’un kit d’exploitation nommé Coruna, qui cible les iPhones fonctionnant avec des versions plus anciennes d’iOS. Les experts du Google Threat Intelligence Group, associés à la société de sécurité iVerify, ont dévoilé des détails intrigants sur cette menace et sur les dégâts qu’elle pourrait causer aux utilisateurs négligents de mise à jour.
Dans les coulisses
Un article décortiqué par Wired nous révèle que le kit Coruna exploite cinq chaînes d’exploits complets et 23 vulnérabilités affectant les iPhones tournant sous iOS 13 jusqu’à iOS 17.2.1. Ce processus est inquiétant dans la mesure où il permet à des acteurs malveillants de surmonter les barrières de sécurité mises en place par Apple.
La méthode employée par Coruna commence par l’accès à un site malveillant. Ce dernier utilise un JavaScript invisible pour déterminer des paramètres spécifiques, comme le modèle de l’appareil et sa version. Une fois ces informations recueillies, l’attaquant a la possibilité de franchir plusieurs niveaux de protection d’iOS, gagnant ainsi des privilèges élevés.
Un point intéressant souligné par Google est que Coruna vérifie si le mode Lockdown est activé sur l’appareil. Si c’est le cas, l’attaque est immédiatement annulée. Cela révèle une certaine sophistication dans le ciblage, car le kit ne sera pas efficace contre les derniers systèmes d’exploitation qui bénéficient régulièrement de mises à jour de sécurité essentielles.
Afin d’obtenir des informations plus techniques sur le fonctionnement de Coruna ainsi qu’une liste exhaustive des vulnérabilités exploitées, le billet complet sur le blog Google Cloud est une bonne référence.
L’élaboration des exploits
En complément de Google, iVerify a également publié des éléments concernant les origines possibles de Coruna. Leur analyse de la structure de ce kit suggère qu’il a été conçu sur des bases similaires à des outils de hacking utilisés par des gouvernements, particulièrement des États-Unis.
Cela soulève une question inquiétante : est-ce la première instance d’une exploitation massive des téléphones mobiles, y compris iOS, par un groupe criminel utilisant des outils d’origine étatique ? En effet, iVerify met en lumière le fait que ce kit a probablement été divulgué et utilisé par des cybercriminels liés à des États comme la Russie et la Chine.
Divers rapports de l’année passée indiquent que les logiciels espions ont élargi leur champ d’application, touchant des cibles autrefois considérées comme sécurisées, comme des exécutifs d’entreprises technologiques et financiers, des campagnes politiques, entre autres. Plus la diffusion est grande, plus le risque de fuite augmente.
A lors de campagnes observées, iVerify et Google révèlent que Coruna a été diffusé via des attaques de type « watering hole », ciblant des sites compromis, notamment des faux services de cryptomonnaie. Les modules finaux, par ailleurs, semblent motivés financièrement, visant à extraire des données de portefeuilles cryptographiques des dispositifs infectés.