Sylink-EDR Mobile
Application iOS et Android pour protéger les smartphones et tablettes professionnels. Détecte stalkerware (Pegasus, Predator, Hermit), apps malveillantes, fuites de credentials et compromission Shadow Apps.
Le mobile est le maillon faible de la plupart des SOC. Pegasus, Predator, Hermit s'installent en quelques secondes via 1-click ou 0-click. Sylink-EDR Mobile applique sur le téléphone la même détection que sur le poste : indicators stalkerware-indicators (Citizen Lab) + MVT (Amnesty) + matcher CTI multi-source. L'utilisateur garde le contrôle, le SOC voit le risque.
Capacités
Détection stalkerware/spyware
- stalkerware-indicators (TheBigPanda, Citizen Lab)
- mvt-indicators STIX2 (Amnesty Mobile Verification Toolkit)
- Pegasus, Predator, Hermit, Reign, Quadrant
- Apps avec permissions accessibility/admin abusées
- Profils MDM suspects (iOS configuration profiles)
Threat intel multi-source
- MalwareBazaar (24 tags Android/iOS/macOS/state)
- URLhaus abuse.ch (URLs malveillantes)
- AlienVault OTX (multi-key, asyncio.gather)
- Cross-propagation `mobile_apk_hashes` → `unified_iocs`
- Mapping MITRE ATT&CK Mobile (T1437, T1444, T1517, …)
Inventaire & compliance
- Liste apps installées + permissions + signature
- Détection apps non managées (BYOD policy)
- Détection root/jailbreak + bootloader unlocked
- OS patch level + CVE applicables
- Rapport MDM-compatible (Intune/Jamf/Workspace ONE)
Réseau mobile
- Détection IMSI-catchers / fake BTS
- C2 detection sur trafic mobile data + Wi-Fi
- VPN obligatoire en hotspot public (auto-trigger)
- Bloque captive portals suspects
- Audit DNS resolver utilisé par les apps
Pilotage IA Sylink
- Triage automatique des alertes mobiles
- Recommendations contextualisées (delete app / reset / wipe)
- Reconstruction de la kill-chain mobile (T1437→T1517)
- Cross-corrélation avec EDR desktop (même utilisateur)
- Integration native dans le tableau de bord SOC tenant
Confidentialité utilisateur
- Aucun contenu de message/photo lu
- Hash SHA-256 + signatures uniquement remontés
- Mode pro/perso (BYOD respect vie privée)
- Politique tenant : SOC voit risque, pas vie privée
- Conforme RGPD article 9 (données sensibles)
Cas d'usage
Détecter Pegasus chez un dirigeant
Le téléphone du DG affiche un pattern mvt-indicator (process com.apple.WebKit.Networking + connexion vers IP NSO Group). Alerte critique au RSSI, recommandation reset usine, audit forensic.
Bloquer une app malveillante
Un employé installe `WhatsApp+Mod` depuis APKMirror. Hash match dans MalwareBazaar tag `android_stealer`. SOC alerté, app retirée via MDM en 5 minutes.
Vérifier flotte avant audit NIS2
L'auditeur demande la liste des terminaux mobiles non patchés. SYLink Mobile EDR sort le rapport en 30 secondes : OS version, apps interdites, root detected, profils MDM bizarres.
Cross-corréler endpoint mobile × desktop
L'utilisateur Bob a son tél compromis (stalkerware) ET son poste qui beacon C2 vers la même infra. SYLink AI corrèle automatiquement et escalade en incident multi-vecteurs.
Spécifications
Intégré nativement à
Tous les modules SYLink communiquent via une plateforme unifiée — pas de silos, pas de duplication de données. Une seule IA pilote l'ensemble.