Triangulation Mobile Malware

La triangulació és un programari maliciós altament sofisticat dissenyat específicament per orientar dispositius iOS. Funciona com una porta del darrere, creant un punt d'entrada secret per a més activitats amenaçadores. Mitjançant l'explotació d'explotacions de clic zero, la triangulació pot infiltrar-se en dispositius sense requerir cap interacció de l'usuari, cosa que fa que sigui encara més perjudicial i difícil de detectar.

Un cop dins d'un dispositiu, Triangulation recopila dades bàsiques del dispositiu i dels usuaris, cosa que permet als atacants obtenir informació valuosa. A més, té la capacitat de descarregar i instal·lar components maliciosos addicionals, inclòs un implant de porta posterior conegut com TriangleDB. Aquest implant serveix com una eina persistent que permet als atacants mantenir l'accés al dispositiu compromès i dur a terme més accions nefastes. Tot i que l'amenaça pot mancar dels mecanismes tradicionals de garantia de la persistència, compensa aquest fet utilitzant mètodes avançats d'infiltració i eliminant qualsevol rastre de la seva presència, cosa que dificulta la seva detecció i eliminació.

La triangulació ha estat una amenaça persistent des d'almenys el 2019 i continua suposant un risc important a partir del juny de 2023. Val la pena assenyalar que la versió analitzada pels experts en seguretat de la informació ha demostrat la capacitat d'orientar de manera eficaç els dispositius amb iOS 15.7, cosa que indica la seva adaptabilitat a les noves versions d'iOS.

Els atacs de triangulació comencen amb missatges de pesca que porten fitxers adjunts compromesos

Es creu que les infeccions de triangulació es desencadenen automàticament per un missatge que conté un fitxer adjunt no segur enviat mitjançant iMessage. El fitxer adjunt en si abusa d'un exploit que aprofita una vulnerabilitat del nucli dins del sistema iOS. Aquesta vulnerabilitat permet l'execució de codi maliciós, que inicia la primera etapa de l'atac de Triangulació. A mesura que avança la infecció, es descarreguen diversos components d'un servidor d'ordres i control (C2). Aquests components serveixen per augmentar les capacitats del programari maliciós i intentar obtenir privilegis de root al dispositiu compromès.

A més de les seves funcions principals, Triangulation també introdueix l'implant TriangleDB al dispositiu compromès. Tot i que la pròpia Triangulació és capaç de recopilar informació bàsica del sistema, la campanya depèn en gran mesura de TriangleDB per accedir a dades molt sensibles. Això inclou la recuperació d'informació de diverses aplicacions, fitxers d'usuari, credencials d'inici de sessió i altres dades crítiques emmagatzemades al dispositiu.

La combinació de l'explotació inicial, la descàrrega posterior de components del servidor C&C i el desplegament del programari espia TriangleDB demostren la naturalesa complexa i polièdrica de l'operació d'atac de Triangulation.

Les capacitats amenaçadores descobertes al programari maliciós mòbil Triangulation

Una part important de l'operació de Triangulation es dedica a eliminar qualsevol rastre de la seva presència i eradicar l'evidència de la infecció inicial. Això inclou la supressió dels missatges maliciosos que inicien la cadena d'atac. En esborrar aquests elements, Triangulation pretén complicar el procés de detecció i anàlisi, fent que sigui difícil descobrir les seves activitats. Tanmateix, és important assenyalar que, malgrat els seus esforços, la triangulació no pot eliminar completament tots els signes de compromís. Certes restes d'una infecció per Triangulació encara es poden recuperar mitjançant eines forenses digitals.

Un aspecte notable de la triangulació és la seva manca de mecanismes de persistència. Quan es reinicia el dispositiu infectat, el programari maliciós s'elimina efectivament del sistema. L'únic mètode emprat per Triangulation per evitar l'eliminació prematura és obstruir les actualitzacions d'iOS. En alguns casos, quan s'intenta actualitzar l'iOS, es mostra un missatge d'error que indica que "Ha fallat l'actualització del programari". S'ha produït un error en baixar iOS.'

Tanmateix, és crucial entendre que, tot i que un simple reinici pot eliminar la triangulació, no evita la possibilitat de cap infecció posterior per l'amenaça. A causa de l'explotació d'una explotació de clic zero, el programari maliciós podria tornar-se a colar fàcilment al dispositiu de la víctima. Per tant, després de reiniciar un iPhone, cal fer un restabliment de fàbrica del dispositiu. Després del restabliment, és imprescindible actualitzar ràpidament l'iOS per assegurar-se que el dispositiu està protegit contra la triangulació i les amenaces associades.