תוכנה זדונית ניידת Triangulation

טריאנגולציה היא תוכנה זדונית מתוחכמת ביותר שתוכננה במיוחד למקד למכשירי iOS. הוא פועל כדלת אחורית, ויוצר נקודת כניסה סודית לפעילויות מאיימות נוספות. על ידי ניצול ניצול אפס קליקים, טריאנגולציה יכולה לחדור למכשירים ללא צורך באינטראקציה כלשהי של המשתמש, מה שהופך אותו אפילו יותר מזיק ומאתגר לזיהוי.

ברגע שנכנס למכשיר, Triangulation אוספת נתונים בסיסיים של מכשירים ומשתמשים, ומאפשרת לתוקפים להשיג מידע בעל ערך. יתר על כן, יש לו את היכולת להוריד ולהתקין רכיבים זדוניים נוספים, כולל שתל בדלת אחורית המכונה TriangleDB. שתל זה משמש ככלי מתמשך המאפשר לתוקפים לשמור על גישה למכשיר שנפרץ ולבצע פעולות נבזיות נוספות. בעוד שהאיום עשוי להיעדר מנגנונים מסורתיים להבטחת התמדה, הוא מפצה על עובדה זו על ידי שימוש בשיטות חדירות מתקדמות והסרת עקבות כלשהם לנוכחותו, מה שמקשה על איתור וחיסול.

טריאנגולציה מהווה איום מתמשך לפחות מאז 2019 וממשיכה להוות סיכון משמעותי החל מיוני 2023. ראוי לציין כי הגרסה שניתחה על ידי מומחי אבטחת מידע הוכיחה את היכולת לכוון ביעילות למכשירים המריצים iOS 15.7, מה שמעיד על יכולת הסתגלותה ל גרסאות iOS החדשות יותר.

התקפות טריאנגולציה מתחילות בהודעות פישינג הנושאות קבצים מצורפים שנפגעו

מאמינים שזיהומי טריאנגולציה מופעלים אוטומטית על ידי הודעה המכילה קובץ מצורף לא בטוח שנשלח באמצעות iMessage. הקובץ המצורף עצמו עושה שימוש לרעה בניצול המנצל פגיעות ליבה במערכת iOS. פגיעות זו מאפשרת ביצוע של קוד זדוני, שמתחיל את השלב הראשון של מתקפת הטריאנגולציה. ככל שההדבקה מתקדמת, הורדת רכיבים מרובים משרת Command-and-Control (C2). רכיבים אלו משרתים את המטרה של הסלמה של יכולות התוכנה הזדונית וניסיון להשיג הרשאות שורש במכשיר שנפרץ.

בנוסף לפונקציות העיקריות שלו, Triangulation מציגה גם את שתל ה- TriangleDB לתוך המכשיר שנפגע. בעוד שטריאנגולציה עצמה מסוגלת לאסוף מידע בסיסי על המערכת, הקמפיין מסתמך במידה רבה על TriangleDB כדי לגשת לנתונים רגישים ביותר. זה כולל אחזור מידע מיישומים שונים, קבצי משתמש, אישורי כניסה ונתונים קריטיים אחרים המאוחסנים במכשיר.

השילוב של הניצול הראשוני, ההורדה שלאחר מכן של רכיבים משרת C&C והפריסה של תוכנת ריגול TriangleDB מדגימים את האופי המורכב והרב-גוני של פעולת התקפת הטריאנגולציה.

היכולות המאיימות שהתגלו בתוכנות זדוניות ניידות בטריאנגולציה

חלק נכבד מפעולת הטריאנגולציה מוקדש לסילוק כל זכר לנוכחותה ולמיגור העדויות לזיהום הראשוני. זה כולל מחיקת ההודעות הזדוניות שמתחילות את שרשרת ההתקפה. על ידי מחיקת האלמנטים הללו, מטרת הטריאנגולציה היא לסבך את תהליך הגילוי והניתוח, מה שהופך אותו למאתגר לחשוף את פעילותו. עם זאת, חשוב לציין שלמרות מאמציו, טריאנגולציה אינה יכולה להסיר לחלוטין את כל סימני הפשרה. עדיין ניתן לשחזר שרידים מסוימים של זיהום בטריאנגולציה באמצעות כלים דיגיטליים לזיהוי פלילי.

היבט בולט אחד של טריאנגולציה הוא היעדר מנגנוני התמדה. כאשר המכשיר הנגוע מופעל מחדש, התוכנה הזדונית מסולקת למעשה מהמערכת. השיטה היחידה שבה משתמשת Triangulation כדי למנוע הסרה בטרם עת היא על ידי חסימת עדכוני iOS. במקרים מסוימים, כאשר נעשה ניסיון לעדכן את iOS, מוצגת הודעת שגיאה המציינת כי 'עדכון התוכנה נכשל. אירעה שגיאה בהורדת iOS.'

עם זאת, חשוב להבין שאמנם הפעלה מחדש פשוטה יכולה להסיר את הטריאנגולציה, אך היא אינה מונעת אפשרות של הדבקה נוספת על ידי האיום. עקב הניצול של ניצול אפס קליק, התוכנה הזדונית יכולה בקלות להתגנב שוב למכשיר של הקורבן. לכן, לאחר אתחול האייפון, יש צורך לבצע איפוס להגדרות היצרן של המכשיר. לאחר האיפוס, הכרחי לעדכן את ה-iOS באופן מיידי כדי להבטיח שהמכשיר מוגן מפני טריאנגולציה ואיומים הקשורים אליו.