Triangulation Mobile Malware

Triangulation یک بدافزار بسیار پیچیده است که به طور خاص برای هدف قرار دادن دستگاه های iOS طراحی شده است. این به عنوان یک درب پشتی عمل می کند و یک نقطه ورودی مخفی برای فعالیت های تهدیدآمیز بیشتر ایجاد می کند. با بهره‌برداری از اکسپلویت‌های صفر کلیک، Triangulation می‌تواند بدون نیاز به تعامل کاربر به دستگاه‌ها نفوذ کند و شناسایی آن را مضرتر و چالش برانگیزتر کند.

هنگامی که داخل دستگاه قرار می گیرد، Triangulation داده های اولیه دستگاه و کاربر را جمع آوری می کند و به مهاجمان اجازه می دهد تا اطلاعات ارزشمندی را به دست آورند. علاوه بر این، قابلیت دانلود و نصب اجزای مخرب اضافی، از جمله ایمپلنت درب پشتی به نام TriangleDB را دارد. این ایمپلنت به عنوان ابزاری پایدار عمل می‌کند که مهاجمان را قادر می‌سازد تا دسترسی به دستگاه آسیب‌دیده را حفظ کرده و اقدامات پلید بیشتری را انجام دهند. در حالی که تهدید ممکن است فاقد مکانیسم‌های سنتی تضمین پایداری باشد، اما این واقعیت را با استفاده از روش‌های نفوذ پیشرفته و از بین بردن هر گونه اثری از حضور آن جبران می‌کند و تشخیص و حذف آن را دشوار می‌کند.

مثلث سازی حداقل از سال 2019 یک تهدید دائمی بوده است و تا ژوئن 2023 همچنان یک خطر قابل توجه است. شایان ذکر است که نسخه تجزیه و تحلیل شده توسط کارشناسان امنیت اطلاعات توانایی هدف قرار دادن موثر دستگاه های دارای iOS 15.7 را نشان داده است که نشان دهنده سازگاری آن با نسخه های جدیدتر iOS

حملات مثلث‌سازی با پیام‌های فیشینگ که پیوست‌های در معرض خطر را حمل می‌کنند آغاز می‌شود

اعتقاد بر این است که عفونت های مثلثی به طور خودکار توسط یک پیام حاوی یک پیوست ناامن ارسال شده از طریق iMessage ایجاد می شوند. خود پیوست از یک اکسپلویت سوء استفاده می کند که از یک آسیب پذیری هسته در سیستم iOS بهره می برد. این آسیب پذیری امکان اجرای کدهای مخرب را فراهم می کند که اولین مرحله از حمله Triangulation را آغاز می کند. با پیشرفت عفونت، چندین مؤلفه از یک سرور Command-and-Control (C2) دانلود می شود. این مؤلفه‌ها به منظور افزایش قابلیت‌های بدافزار و تلاش برای به دست آوردن امتیازات ریشه در دستگاه در معرض خطر است.

Triangulation علاوه بر عملکردهای اصلی خود، ایمپلنت TriangleDB را نیز به دستگاه آسیب‌دیده وارد می‌کند. در حالی که Triangulation خود قادر به جمع آوری اطلاعات اولیه سیستم است، کمپین به شدت به TriangleDB برای دسترسی به داده های بسیار حساس متکی است. این شامل بازیابی اطلاعات از برنامه های مختلف، فایل های کاربر، اعتبارنامه های ورود به سیستم و سایر داده های حیاتی ذخیره شده در دستگاه است.

ترکیبی از اکسپلویت اولیه، دانلود بعدی مؤلفه ها از سرور C&C، و استقرار نرم افزار جاسوسی TriangleDB ماهیت پیچیده و چندوجهی عملیات حمله Triangulation را نشان می دهد.

قابلیت های تهدید آمیز کشف شده در بدافزار موبایل Triangulation

بخش قابل توجهی از عملیات Triangulation به از بین بردن هر گونه اثری از حضور آن و از بین بردن شواهد عفونت اولیه اختصاص دارد. این شامل حذف پیام های مخربی است که زنجیره حمله را شروع می کند. هدف Triangulation با پاک کردن این عناصر، پیچیده کردن فرآیند تشخیص و تجزیه و تحلیل، و کشف فعالیت های آن چالش برانگیز است. با این حال، ذکر این نکته ضروری است که علیرغم تلاش هایش، مثلث نمی تواند تمام نشانه های سازش را به طور کامل حذف کند. برخی از بقایای عفونت مثلثی را می توان با استفاده از ابزارهای پزشکی قانونی دیجیتال بازیابی کرد.

یکی از جنبه های قابل توجه مثلث بندی عدم وجود مکانیسم های پایداری آن است. هنگامی که دستگاه آلوده راه اندازی مجدد می شود، بدافزار به طور موثر از سیستم حذف می شود. تنها روشی که توسط Triangulation برای جلوگیری از حذف نابهنگام استفاده می‌شود، جلوگیری از به‌روزرسانی‌های iOS است. در برخی موارد، هنگامی که تلاش برای به روز رسانی iOS انجام می شود، یک پیام خطایی نشان داده می شود که "به روز رسانی نرم افزار انجام نشد". هنگام دانلود iOS خطایی روی داد.'

با این حال، درک این نکته ضروری است که اگرچه یک راه‌اندازی مجدد ساده می‌تواند Triangulation را حذف کند، اما از احتمال هرگونه عفونت بعدی توسط تهدید جلوگیری نمی‌کند. به دلیل بهره برداری از یک اکسپلویت صفر کلیک، بدافزار می تواند به راحتی دوباره به دستگاه قربانی نفوذ کند. بنابراین، پس از راه اندازی مجدد آیفون، لازم است دستگاه را به حالت Factory Reset کنید. پس از تنظیم مجدد، ضروری است که سریعا iOS را به روز کنید تا از محافظت دستگاه در برابر مثلث و تهدیدات مرتبط با آن اطمینان حاصل کنید.