Après le malware Pegasus qui infecte les Smartphones, un nouveau virus est apparu : Predator. Il attaque les téléphones sous Android et les iPhone via un lien transmis sur WhatsApp.
Les premières cibles
Le laboratoire Citizen Lab affilié à l’université de Toronto, au Canada, a découvert le nouveau malware Predator pendant des investigations menées lors d’une opération d’espionnage. Son prédécesseur, Pegasus, a été créé par NSO Group, une entreprise israélienne documentée en 2016, mais qui a surtout retenu l’attention en 2021. Deux personnalités étaient la cible du virus : Ayman Nour, un homme politique exilé en Turquie, et le présentateur d’un programme d’information populaire. Le profil d’Ayman Nour intéressait beaucoup de personnes. Son Smartphone était infecté par Pegasus et Predator en même temps, ce qui peut porter préjudice à son propriétaire.
Predator peut être utilisé dans d’autres pays comme l’Arabie saoudite, Oman, Madagascar, l’Indonésie, l’Arménie, l’Égypte, la Grèce et la Serbie. Des logiciels semblables à Pegasus et Predator sont utilisés pour espionner des personnalités : journalistes, opposants politiques, militants des droits de l’homme… Le document de Meta précise l’engouement d’une industrie de pirate à louer. Des entreprises spécialistes du plan technique fournissent des outils de hack.
Caractéristiques de Predator
Ce malware se transmet d’un Smartphone à un autre via un lien transmis sur WhatsApp. Il peut aussi se propager dans des versions récentes d’iOS (jusqu’à iOS 14,6, sorti en mai 2021). Le service ne peut rien faire face à ce virus, si l’émetteur envoie des liens vérolés volontairement ou non.
Predator est une œuvre de l’entreprise Cytrox. Le document de Meta indique que plus de 250 comptes sur Instagram et Facebook liés à Cytrox ont été supprimés. Cytrox est une société implantée en Macédoine du nord avec des annexes en Hongrie et en Israël. Elle fait partie du groupe Intellexa, concurrent direct de NSO Group. Les autres partenaires comprennent Nexa Technologies et WiSpear. Pour le média américain Gizmodo, Cytrox est une filiale de WiSpear depuis 2018-2019. Celle-ci est spécialisée dans l’interception sans fil. Elle a été fondée par Tal Dilian, un ancien officier de l’armée israélienne, un expert de renseignement et fondateur du groupe Intellexa. Ce dernier peut intercepter des liaisons aussi bien en 2G, 3G et 4G, qu’en Wifi. Il opère dans de nombreux pays et possède des bureaux à Paris, Jakarta, Dubaï et Tel-Aviv. Le partenariat entre WiSpear et Cytrox a permis de finaliser le projet d’interception et de surveillance du groupe. Pour attaquer, Cytrox pilote un réseau de domaines qui « usurpent des médias d’information légitimes pour imiter de vrais services de médias sociaux et de raccourcissement d’URL ».
Mesures
Comme WhatsApp est une filiale de Facebook, elle prendra des dispositions avec Apple pour éviter d’utiliser les méthodes de Cytrox. La firme de Cupertine les soutient en prévoyant une maintenance de la messagerie instantanée. Meta et Citizen Lab confirment aussi la possibilité de lancer des poursuites judiciaires contre Cytrox. Quant au groupe Apple, il a déjà engagé des poursuites contre NSO, vers la fin novembre 2021.
