DarkSword : un second logiciel espion ciblant les iPhone DarkSword est un spyware iPhone capable d’exfiltrer rapidement des données sensibles via des sites compromis et des vulnérabilités iOS spécifiques. DarkSword est le deuxième logiciel espion ciblant les iPhone à être identifié par des chercheurs.
DarkSword est le deuxième logiciel espion ciblant les iPhone à être identifié par des chercheurs. Déployé via des sites web compromis (attaque de type Watering Hole), il peut pirater des appareils iOS visitant ces sites sans interaction de l’utilisateur et exfiltrer rapidement des données sensibles.
Les chercheurs d’iVerify, Lookout et du Google Threat Intelligence Group (GTIG) publient des rapports sur DarkSword, décrit comme une chaîne d’exploitation iOS complète visant l’extraction d’informations personnelles et financières sensibles.
Par rapport à Coruna, un autre spyware utilisé par des acteurs russes et chinois, DarkSword cible principalement les versions iOS 18.4 à 18.7 et est apparu en 2024.
Le toolkit exploite six vulnérabilités et déploie trois familles distinctes après intrusion : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. Lookout précise que l’objectif est d’extraire un ensemble étendu de données et de viser des portefeuilles cryptographiques.
Ce que DarkSword vole et où il agit
Selon les chercheurs, DarkSword peut voler des mots de passe, cookies, SMS, e-mails, photos (y compris cachées), liste des applications installées, journaux d’iMessage, WhatsApp et Telegram, historique de navigation et géolocalisation, appels, données iCloud Drive, calendrier et Notes, et même des données de Santé via l’application Santé d’Apple. L’extraction est souvent rapide : l’outil peut transmettre les données visées en quelques secondes avant de nettoyer l’appareil.
Sur le volet financier, le spyware cible des plateformes d’échange de crypto-actifs et des portefeuilles cryptographiques, notamment Coinbase, Binance, Kraken, Kucoin, Okx et Mexc, ainsi que des wallets comme Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom et Gnosis Safe.
Ce que cela dit sur le paysage de la menace
Les chercheurs notent que DarkSword s’inscrit dans une catégorie de kits d’exploitation « tout-en-un », généralement coûteux et destinés à des opérateurs étatiques ou à des acteurs privés travaillant pour des forces de l’ordre et des services de renseignement. Le caractère rapide de l’opération et le nettoyage final montrent une tendance à l’abattre net après exfiltration.
En revanche, des limites apparaissent: DarkSword se concentre sur un ensemble restreint de versions iOS et s’appuie sur des chaînes d’exploitation qui, bien que techniquement sophistiquées, semblent moins robustes que celles de Coruna, selon GTIG et Google.
Pour terminer
DarkSword illustre une menace mobile de plus en plus coûteuse et ciblée, capable d’agir sans interaction utilisateur et de viser des actifs numériques sensibles. Pour les utilisateurs et les équipes de sécurité, cela renforce la nécessité de surveiller les mises à jour iOS et les dispositifs de détection proactifs.
