Triangulation Mobile Malware

التثليث هو برنامج ضار متطور للغاية مصمم خصيصًا لاستهداف أجهزة iOS. إنه يعمل كباب خلفي ، مما يخلق نقطة دخول سرية لمزيد من الأنشطة التهديدية. من خلال استغلال عمليات استغلال النقرات الصفرية ، يمكن لـ Triangulation التسلل إلى الأجهزة دون الحاجة إلى أي تدخل من المستخدم ، مما يجعل اكتشافها أكثر ضررًا وصعوبة.

بمجرد دخول الجهاز ، يجمع التثليث بيانات الجهاز والمستخدم الأساسية ، مما يسمح للمهاجمين بالحصول على معلومات قيمة. علاوة على ذلك ، لديه القدرة على تنزيل وتثبيت مكونات ضارة إضافية ، بما في ذلك غرسة الباب الخلفي المعروفة باسم TriangleDB. تعمل هذه الغرسة كأداة ثابتة تمكن المهاجمين من الحفاظ على الوصول إلى الجهاز المخترق وتنفيذ المزيد من الإجراءات الشائنة. في حين أن التهديد قد يفتقر إلى الآليات التقليدية لضمان المثابرة ، فإنه يعوض عن هذه الحقيقة من خلال استخدام أساليب تسلل متقدمة وإزالة أي آثار لوجوده ، مما يجعل من الصعب اكتشافه والقضاء عليه.

يمثل التثليث تهديدًا مستمرًا منذ عام 2019 على الأقل ولا يزال يمثل خطرًا كبيرًا اعتبارًا من يونيو 2023. وتجدر الإشارة إلى أن الإصدار الذي تم تحليله بواسطة خبراء أمن المعلومات قد أظهر القدرة على استهداف الأجهزة التي تعمل بنظام iOS 15.7 بشكل فعال ، مما يشير إلى قدرته على التكيف مع أحدث إصدارات iOS.

تبدأ هجمات التثليث برسائل التصيد التي تحمل مرفقات تم اختراقها

يُعتقد أن عدوى التثليث يتم تشغيلها تلقائيًا عن طريق رسالة تحتوي على مرفق غير آمن يتم إرسالها عبر iMessage. يسيء المرفق نفسه استغلال الثغرة التي تستفيد من ثغرة kernel داخل نظام iOS. تسمح هذه الثغرة الأمنية بتنفيذ التعليمات البرمجية الضارة ، والتي تبدأ المرحلة الأولى من هجوم التثليث. مع تقدم الإصابة ، يتم تنزيل مكونات متعددة من خادم الأوامر والتحكم (C2). تخدم هذه المكونات الغرض من تصعيد قدرات البرامج الضارة ومحاولة الحصول على امتيازات الجذر على الجهاز المخترق.

بالإضافة إلى وظائفها الأساسية ، تقدم Triangulation أيضًا غرسة TriangleDB في الجهاز المخترق. في حين أن Triangulation نفسها قادرة على جمع معلومات النظام الأساسية ، تعتمد الحملة بشكل كبير على TriangleDB للوصول إلى البيانات الحساسة للغاية. يتضمن ذلك استرداد المعلومات من التطبيقات المختلفة وملفات المستخدم وبيانات اعتماد تسجيل الدخول والبيانات الهامة الأخرى المخزنة على الجهاز.

يُظهر الجمع بين الاستغلال الأولي ، والتنزيل اللاحق للمكونات من خادم القيادة والتحكم ، ونشر برنامج التجسس TriangleDB الطبيعة المعقدة والمتعددة الأوجه لعملية هجوم Triangulation.

تم اكتشاف قدرات التهديد في البرامج الضارة للجوال المثلث

يتم تخصيص جزء كبير من عملية التثليث لإزالة أي آثار لوجودها والقضاء على دليل الإصابة الأولية. يتضمن ذلك حذف الرسائل الضارة التي تبدأ سلسلة الهجوم. من خلال محو هذه العناصر ، يهدف التثليث إلى تعقيد عملية الكشف والتحليل ، مما يجعل الكشف عن أنشطته أمرًا صعبًا. ومع ذلك ، من المهم ملاحظة أنه على الرغم من جهود التثليث ، لا يمكنها إزالة جميع علامات التسوية تمامًا. لا يزال من الممكن استعادة بعض بقايا عدوى التثليث باستخدام أدوات الطب الشرعي الرقمية.

أحد الجوانب البارزة في التثليث هو افتقارها إلى آليات الثبات. عند إعادة تشغيل الجهاز المصاب ، يتم التخلص من البرامج الضارة بشكل فعال من النظام. الطريقة الوحيدة التي تستخدمها Triangulation لمنع الإزالة غير المحددة هي عن طريق إعاقة تحديثات iOS. في بعض الحالات ، عند إجراء محاولة لتحديث iOS ، تظهر رسالة خطأ تفيد بأن "فشل تحديث البرنامج". حدث خطأ أثناء تنزيل iOS.

ومع ذلك ، من المهم أن نفهم أنه في حين أن إعادة التشغيل البسيطة يمكن أن تزيل Triangulation ، فإنها لا تمنع احتمال أي إصابة لاحقة بالتهديد. نظرًا لاستغلال استغلال النقرة الصفرية ، يمكن للبرامج الضارة التسلل بسهولة إلى جهاز الضحية مرة أخرى. لذلك ، بعد إعادة تشغيل جهاز iPhone ، من الضروري إجراء إعادة ضبط المصنع للجهاز. بعد إعادة الضبط ، من الضروري تحديث iOS على الفور لضمان حماية الجهاز من التثليث والتهديدات المرتبطة به.