Triangulation Mobile Malware

Triangulation je visoko sofisticirani malware posebno dizajniran za ciljanje iOS uređaja. Djeluje kao stražnja vrata, stvarajući tajnu ulaznu točku za daljnje prijeteće aktivnosti. Iskorištavanjem zero-click exploita, Triangulation se može infiltrirati u uređaje bez potrebe za interakcijom korisnika, što ga čini još štetnijim i izazovnijim za otkrivanje.

Jednom kada uđe u uređaj, Triangulation prikuplja osnovne podatke o uređaju i korisniku, omogućujući napadačima da dobiju vrijedne informacije. Nadalje, ima mogućnost preuzimanja i instaliranja dodatnih zlonamjernih komponenti, uključujući backdoor implantat poznat kao TriangleDB. Ovaj implantat služi kao trajni alat koji napadačima omogućuje održavanje pristupa kompromitiranom uređaju i izvođenje daljnjih zlobnih radnji. Iako prijetnji možda nedostaju tradicionalni mehanizmi za osiguravanje postojanosti, ona kompenzira tu činjenicu primjenom naprednih metoda infiltracije i uklanjanjem svih tragova svoje prisutnosti, što otežava otkrivanje i uklanjanje.

Triangulacija je stalna prijetnja barem od 2019. i nastavlja predstavljati značajan rizik od lipnja 2023. Vrijedno je napomenuti da je verzija koju su analizirali stručnjaci za informacijsku sigurnost pokazala sposobnost učinkovitog ciljanja uređaja koji koriste iOS 15.7, što ukazuje na njezinu prilagodljivost novije verzije iOS-a.

Triangulacijski napadi počinju s phishing porukama koje nose kompromitirane privitke

Vjeruje se da se triangulacijske infekcije automatski pokreću porukom koja sadrži nesigurni privitak poslanom putem iMessage-a. Sam prilog zlorabi exploit koji iskorištava ranjivost kernela unutar iOS sustava. Ova ranjivost dopušta izvršavanje zlonamjernog koda, koji započinje prvu fazu Triangulation napada. Kako infekcija napreduje, više se komponenti preuzima s Command-and-Control (C2) poslužitelja. Ove komponente služe u svrhu eskalacije mogućnosti zlonamjernog softvera i pokušaja dobivanja root privilegija na kompromitiranom uređaju.

Uz svoje primarne funkcije, Triangulation također uvodi TriangleDB implantat u kompromitirani uređaj. Iako sama Triangulacija može prikupiti osnovne informacije o sustavu, kampanja se uvelike oslanja na TriangleDB za pristup vrlo osjetljivim podacima. To uključuje dohvaćanje informacija iz raznih aplikacija, korisničkih datoteka, vjerodajnica za prijavu i drugih kritičnih podataka pohranjenih na uređaju.

Kombinacija početnog iskorištavanja, kasnijeg preuzimanja komponenti s C&C poslužitelja i postavljanja TriangleDB špijunskog softvera demonstrira složenu i višestruku prirodu operacije Triangulation napada.

Prijeteće mogućnosti otkrivene u Triangulation Mobile Malware

Značajan dio rada Triangulacije posvećen je uklanjanju bilo kakvih tragova njegove prisutnosti i iskorjenjivanju dokaza početne infekcije. To uključuje brisanje zlonamjernih poruka koje započinju lanac napada. Brisanjem ovih elemenata, Triangulation ima za cilj zakomplicirati proces otkrivanja i analize, čineći otkrivanje njegovih aktivnosti izazovnim. Međutim, važno je napomenuti da unatoč svojim naporima, Triangulation ne može u potpunosti ukloniti sve znakove kompromisa. Određeni ostaci infekcije triangulacije još uvijek se mogu oporaviti pomoću digitalnih forenzičkih alata.

Jedan značajan aspekt triangulacije je nedostatak mehanizama postojanosti. Kada se zaraženi uređaj ponovno pokrene, zlonamjerni softver se učinkovito uklanja iz sustava. Jedina metoda koju koristi Triangulation za sprječavanje nepravovremenog uklanjanja je ometanje ažuriranja iOS-a. U nekim slučajevima, kada se pokuša ažurirati iOS, prikazuje se poruka o pogrešci koja kaže da 'Ažuriranje softvera nije uspjelo. Došlo je do pogreške prilikom preuzimanja iOS-a.'

Međutim, ključno je razumjeti da, iako jednostavno ponovno pokretanje može ukloniti triangulaciju, ono ne sprječava mogućnost bilo koje naknadne infekcije prijetnjom. Zbog iskorištavanja zero-click exploita, zlonamjerni softver mogao bi se lako ponovno ušuljati na žrtvin uređaj. Stoga, nakon što se iPhone ponovno pokrene, potrebno je izvršiti tvorničko resetiranje uređaja. Nakon resetiranja, nužno je odmah ažurirati iOS kako bi se osiguralo da je uređaj zaštićen od triangulacije i s njom povezanih prijetnji.