Triangulation Mobile Malware

Trianguliacija yra labai sudėtinga kenkėjiška programa, specialiai sukurta iOS įrenginiams. Jis veikia kaip užpakalinės durys ir sukuria slaptą įėjimo tašką tolimesnei grėsmingai veiklai. Išnaudodama nulinio paspaudimo išnaudojimus, „Triangulation“ gali įsiskverbti į įrenginius nereikalaujant jokio vartotojo sąveikos, todėl jį aptikti yra dar žalingiau ir sudėtingiau.

Patekusi į įrenginį, Trianguliacija renka pagrindinius įrenginio ir vartotojo duomenis, leidžiančius užpuolikams gauti vertingos informacijos. Be to, ji turi galimybę atsisiųsti ir įdiegti papildomų kenkėjiškų komponentų, įskaitant galinių durų implantą, žinomą kaip TriangleDB. Šis implantas tarnauja kaip nuolatinis įrankis, leidžiantis užpuolikams išlaikyti prieigą prie pažeisto įrenginio ir atlikti tolesnius nešvankius veiksmus. Nors grėsmei gali trūkti tradicinių patvarumą užtikrinančių mechanizmų, ji šį faktą kompensuoja taikydama pažangius įsiskverbimo metodus ir pašalindama bet kokius jos buvimo pėdsakus, todėl ją sunku aptikti ir pašalinti.

Trianguliacija buvo nuolatinė grėsmė mažiausiai nuo 2019 m. ir tebekelia didelę riziką nuo 2023 m. birželio mėn. Verta paminėti, kad informacijos saugumo ekspertų išanalizuota versija įrodė, kad ji gali efektyviai taikyti įrenginius, kuriuose veikia iOS 15.7, o tai rodo jos pritaikomumą naujesnės iOS versijos.

Trianguliacijos atakos prasideda nuo sukčiavimo pranešimų, kuriuose yra pažeisti priedai

Manoma, kad trianguliacines infekcijas sukelia automatiškai per iMessage išsiųstas pranešimas su nesaugiu priedu. Pats priedas piktnaudžiauja išnaudojimu, kuris naudojasi branduolio pažeidžiamumu iOS sistemoje. Šis pažeidžiamumas leidžia vykdyti kenkėjišką kodą, kuris pradeda pirmąjį trianguliacijos atakos etapą. Infekcijai progresuojant iš komandų ir valdymo (C2) serverio atsisiunčiami keli komponentai. Šie komponentai naudojami siekiant išplėsti kenkėjiškos programos galimybes ir bandyti įgyti pažeisto įrenginio root teises.

Be pagrindinių funkcijų, Triangulation taip pat įveda TriangleDB implantą į pažeistą įrenginį. Nors pati trianguliacija gali rinkti pagrindinę sistemos informaciją, kampanija labai priklauso nuo TriangleDB, kad pasiektų labai jautrius duomenis. Tai apima informacijos gavimą iš įvairių programų, vartotojo failų, prisijungimo kredencialų ir kitų svarbių duomenų, saugomų įrenginyje.

Pradinio išnaudojimo derinys, vėlesnis komponentų atsisiuntimas iš C&C serverio ir TriangleDB šnipinėjimo programų diegimas parodo sudėtingą ir daugialypį trianguliacijos atakos operacijos pobūdį.

„Triangulation“ mobiliojoje kenkėjiškoje programoje aptiktos grėsmingos galimybės

Didelė Trianguliacijos operacijos dalis skirta pašalinti bet kokius jos buvimo pėdsakus ir išnaikinti pradinės infekcijos požymius. Tai apima kenkėjiškų pranešimų, kurie pradeda atakos grandinę, ištrynimą. Ištrindama šiuos elementus, „Triangulation“ siekia apsunkinti aptikimo ir analizės procesą, todėl sunku atskleisti savo veiklą. Tačiau svarbu pažymėti, kad nepaisant pastangų, trianguliacija negali visiškai pašalinti visų kompromiso požymių. Tam tikrus trianguliacijos infekcijos likučius vis tiek galima atkurti naudojant skaitmeninius teismo ekspertizės įrankius.

Vienas pastebimų trianguliacijos aspektų yra patvarumo mechanizmų trūkumas. Kai užkrėstas įrenginys paleidžiamas iš naujo, kenkėjiška programa veiksmingai pašalinama iš sistemos. Vienintelis „Trianguliation“ naudojamas būdas išvengti nesavalaikio pašalinimo yra „iOS“ naujinimų trukdymas. Kai kuriais atvejais, kai bandoma atnaujinti iOS, rodomas klaidos pranešimas, nurodantis, kad programinės įrangos naujinimas nepavyko. Atsisiunčiant iOS įvyko klaida.

Tačiau labai svarbu suprasti, kad nors paprastas paleidimas iš naujo gali pašalinti trianguliaciją, tai neužkerta kelio bet kokiai vėlesnei grėsmės infekcijai. Dėl nulinio paspaudimo išnaudojimo kenkėjiška programa gali lengvai vėl patekti į aukos įrenginį. Todėl po to, kai iPhone buvo paleistas iš naujo, būtina iš naujo nustatyti įrenginio gamyklinius nustatymus. Nustačius iš naujo, būtina nedelsiant atnaujinti „iOS“, kad įrenginys būtų apsaugotas nuo trianguliacijos ir su ja susijusių grėsmių.