Triangulation Mobile Malware

Triangulation е изключително усъвършенстван злонамерен софтуер, специално създаден за насочване към iOS устройства. Той работи като задна врата, създавайки тайна входна точка за по-нататъшни заплашителни дейности. Използвайки експлойти с нулево щракване, Triangulation може да проникне в устройства, без да изисква взаимодействие с потребителя, което го прави още по-вреден и труден за откриване.

Веднъж попаднал в устройство, триангулацията събира основни данни за устройството и потребителя, което позволява на нападателите да получат ценна информация. Освен това има способността да изтегля и инсталира допълнителни злонамерени компоненти, включително имплант за задната врата, известен като TriangleDB. Този имплант служи като постоянен инструмент, който позволява на нападателите да поддържат достъп до компрометираното устройство и да извършват по-нататъшни престъпни действия. Въпреки че на заплахата може да липсват традиционни механизми за осигуряване на устойчивост, тя компенсира този факт чрез използване на усъвършенствани методи за проникване и премахване на всякакви следи от нейното присъствие, което я прави трудна за откриване и премахване.

Триангулацията е постоянна заплаха поне от 2019 г. и продължава да представлява значителен риск от юни 2023 г. Струва си да се отбележи, че версията, анализирана от експерти по информационна сигурност, демонстрира способността за ефективно насочване към устройства, работещи с iOS 15.7, което показва нейната адаптивност към по-новите версии на iOS.

Триангулационните атаки започват с фишинг съобщения, носещи компрометирани прикачени файлове

Смята се, че триангулационните инфекции се задействат автоматично от съобщение, съдържащо опасен прикачен файл, изпратен чрез iMessage. Самият прикачен файл злоупотребява с експлойт, който се възползва от уязвимост на ядрото в системата iOS. Тази уязвимост позволява изпълнението на злонамерен код, който стартира първия етап от атаката Triangulation. С напредването на инфекцията множество компоненти се изтеглят от Command-and-Control (C2) сървър. Тези компоненти служат за целта на ескалиране на възможностите на злонамерения софтуер и опит за получаване на права на root на компрометираното устройство.

В допълнение към основните си функции, Triangulation също въвежда импланта TriangleDB в компрометираното устройство. Докато самата триангулация е способна да събира основна системна информация, кампанията разчита в голяма степен на TriangleDB за достъп до изключително чувствителни данни. Това включва извличане на информация от различни приложения, потребителски файлове, идентификационни данни за вход и други критични данни, съхранени на устройството.

Комбинацията от първоначалния експлойт, последващото изтегляне на компоненти от C&C сървъра и внедряването на шпионски софтуер TriangleDB демонстрира сложния и многостранен характер на операцията за атака на триангулация.

Заплашващите възможности, открити в Triangulation Mobile Malware

Значителна част от операцията на Triangulation е посветена на елиминирането на всякакви следи от неговото присъствие и изкореняването на доказателствата за първоначалната инфекция. Това включва изтриването на злонамерените съобщения, които започват веригата от атаки. Чрез изтриване на тези елементи, Triangulation има за цел да усложни процеса на откриване и анализ, което прави предизвикателство разкриването на неговите дейности. Важно е обаче да се отбележи, че въпреки усилията си, Triangulation не може напълно да премахне всички признаци на компромис. Някои остатъци от инфекция с триангулация все още могат да бъдат възстановени с помощта на инструменти за цифрова криминалистика.

Един забележителен аспект на триангулацията е липсата на механизми за устойчивост. Когато заразеното устройство се рестартира, зловредният софтуер се елиминира ефективно от системата. Единственият метод, използван от Triangulation за предотвратяване на преждевременно премахване, е чрез възпрепятстване на актуализациите на iOS. В някои случаи, когато се направи опит за актуализиране на iOS, се показва съобщение за грешка, което гласи, че „Актуализацията на софтуера е неуспешна. Възникна грешка при изтеглянето на iOS.'

Въпреки това е изключително важно да се разбере, че докато обикновеното рестартиране може да премахне триангулацията, то не предотвратява възможността за последващо заразяване от заплахата. Поради използването на експлойт с нулево кликване, злонамереният софтуер може лесно да се промъкне отново в устройството на жертвата. Следователно, след като iPhone е рестартиран, е необходимо да извършите фабрично нулиране на устройството. След нулирането е наложително да актуализирате своевременно iOS, за да сте сигурни, че устройството е защитено срещу триангулация и свързаните с нея заплахи.