Triangulation Mobile Malware

A Triangulation egy rendkívül kifinomult rosszindulatú program, amelyet kifejezetten iOS-eszközök megcélzására terveztek. Hátsó ajtóként működik, titkos belépési pontot hozva létre a további fenyegető tevékenységekhez. A zéró kattintás kihasználásával a Triangulation behatolhat az eszközökbe anélkül, hogy felhasználói beavatkozásra lenne szükség, így még károsabbá és nagyobb kihívást jelent az észlelése.

Az eszközön belül a Triangulation alapvető eszköz- és felhasználói adatokat gyűjt össze, lehetővé téve a támadók számára, hogy értékes információkat szerezzenek. Ezenkívül képes további rosszindulatú összetevők letöltésére és telepítésére, beleértve a TriangleDB néven ismert hátsó ajtó implantátumot. Ez az implantátum tartós eszközként szolgál, amely lehetővé teszi a támadók számára, hogy fenntartsák a hozzáférést a feltört eszközhöz, és további aljas műveleteket hajtsanak végre. Bár a fenyegetésből hiányozhatnak a hagyományos kitartást biztosító mechanizmusok, ezt kompenzálja fejlett beszivárgási módszerek alkalmazásával, és eltávolítja a jelenlétének nyomait, megnehezítve az észlelést és megszüntetést.

A háromszögelés legalább 2019 óta állandó fenyegetés, és 2023 júniusában továbbra is jelentős kockázatot jelent. Érdemes megjegyezni, hogy az információbiztonsági szakértők által elemzett verzió bebizonyította, hogy képes hatékonyan megcélozni az iOS 15.7 rendszert futtató eszközöket, ami azt jelzi, hogy képes alkalmazkodni az újabb iOS verziók.

A háromszögelési támadások adathalász üzenetekkel kezdődnek, amelyek sérült mellékleteket hordoznak

Úgy gondolják, hogy a háromszögelési fertőzéseket az iMessage-en keresztül küldött, nem biztonságos mellékletet tartalmazó üzenet automatikusan kiváltja. Maga a melléklet egy olyan kihasználással él, amely kihasználja az iOS rendszeren belüli kernel sebezhetőségét. Ez a biztonsági rés rosszindulatú kód futtatását teszi lehetővé, ami elindítja a Triangulation támadás első szakaszát. A fertőzés előrehaladtával több összetevő is letöltődik a Command-and-Control (C2) kiszolgálóról. Ezek az összetevők azt a célt szolgálják, hogy fokozzák a kártevő képességeit, és megpróbáljanak root jogosultságokat szerezni a feltört eszközön.

A Triangulation az elsődleges funkciói mellett a TriangleDB implantátumot is bevezeti a veszélyeztetett készülékbe. Míg a Triangulation maga is képes alapvető rendszerinformációkat gyűjteni, a kampány nagymértékben támaszkodik a TriangleDB-re a rendkívül érzékeny adatok eléréséhez. Ez magában foglalja az információk lekérését a különböző alkalmazásokból, felhasználói fájlokból, bejelentkezési hitelesítő adatokból és más, az eszközön tárolt kritikus adatokból.

A kezdeti kihasználás, az összetevők későbbi letöltése a C&C szerverről és a TriangleDB spyware telepítése jól mutatja a Triangulation támadási művelet összetett és sokrétű természetét.

A Triangulation Mobile rosszindulatú programban felfedezett fenyegető képességek

A Triangulation működésének jelentős része a jelenlétének minden nyomának eltüntetésére és a kezdeti fertőzés bizonyítékainak felszámolására irányul. Ez magában foglalja a támadási láncot elindító rosszindulatú üzenetek törlését. Ezen elemek törlésével a Triangulation célja az észlelési és elemzési folyamat bonyolítása, ami kihívást jelent tevékenységeinek feltárásában. Fontos azonban megjegyezni, hogy erőfeszítései ellenére a Triangulation nem tudja teljesen eltávolítani a kompromisszum minden jelét. A Triangulation fertőzés bizonyos maradványai továbbra is visszanyerhetők digitális kriminalisztikai eszközökkel.

A háromszögelés egyik figyelemre méltó aspektusa a perzisztencia-mechanizmusok hiánya. A fertőzött eszköz újraindításakor a rosszindulatú program hatékonyan eltávolítódik a rendszerből. A Triangulation egyetlen módszere az idő előtti eltávolítás megakadályozására az iOS frissítések akadályozása. Egyes esetekben, amikor megpróbálják frissíteni az iOS-t, hibaüzenet jelenik meg, amely szerint „A szoftverfrissítés sikertelen. Hiba történt az iOS letöltése közben.'

Alapvető fontosságú azonban annak megértése, hogy bár egy egyszerű újraindítás eltávolíthatja a háromszögelést, nem akadályozza meg a fenyegetés által okozott későbbi fertőzés lehetőségét. A zero-click exploit kihasználása miatt a rosszindulatú program könnyen újra besurranhat az áldozat eszközére. Ezért az iPhone újraindítása után el kell végezni az eszköz gyári alaphelyzetbe állítását. Az alaphelyzetbe állítást követően feltétlenül frissíteni kell az iOS-t, hogy biztosítsa az eszköz védelmét a háromszögelés és a kapcsolódó fenyegetésekkel szemben.