Triangulation Mobile Malware

Triangulasi ialah perisian hasad yang sangat canggih yang direka khusus untuk menyasarkan peranti iOS. Ia beroperasi sebagai pintu belakang, mewujudkan pintu masuk rahsia untuk aktiviti mengancam selanjutnya. Dengan mengeksploitasi eksploitasi sifar klik, Triangulasi boleh menyusup peranti tanpa memerlukan sebarang interaksi pengguna, menjadikannya lebih berbahaya dan mencabar untuk dikesan.

Apabila berada di dalam peranti, Triangulasi mengumpulkan peranti asas dan data pengguna, membolehkan penyerang memperoleh maklumat berharga. Tambahan pula, ia mempunyai keupayaan untuk memuat turun dan memasang komponen hasad tambahan, termasuk implan pintu belakang yang dikenali sebagai TriangleDB. Implan ini berfungsi sebagai alat berterusan yang membolehkan penyerang mengekalkan akses kepada peranti yang terjejas dan melakukan tindakan jahat selanjutnya. Walaupun ancaman itu mungkin kekurangan mekanisme memastikan kegigihan tradisional, ia mengimbangi fakta ini dengan menggunakan kaedah penyusupan lanjutan dan mengalih keluar sebarang kesan kehadirannya, menjadikannya sukar untuk dikesan dan dihapuskan.

Triangulasi telah menjadi ancaman berterusan sejak sekurang-kurangnya 2019 dan terus menimbulkan risiko yang ketara pada Jun 2023. Perlu diingat bahawa versi yang dianalisis oleh pakar keselamatan maklumat telah menunjukkan keupayaan untuk menyasarkan peranti yang menjalankan iOS 15.7 dengan berkesan, menunjukkan kebolehsuaiannya kepada versi iOS yang lebih baharu.

Serangan Triangulasi Bermula dengan Mesej Phishing yang Membawa Lampiran Yang Dikompromi

Jangkitan triangulasi dipercayai dicetuskan secara automatik oleh mesej yang mengandungi lampiran tidak selamat yang dihantar melalui iMessage. Lampiran itu sendiri menyalahgunakan eksploitasi yang mengambil kesempatan daripada kerentanan kernel dalam sistem iOS. Kerentanan ini membolehkan pelaksanaan kod berniat jahat, yang memulakan peringkat pertama serangan Triangulasi. Apabila jangkitan berlangsung, berbilang komponen dimuat turun daripada pelayan Perintah-dan-Kawalan (C2). Komponen ini berfungsi untuk meningkatkan keupayaan perisian hasad dan cuba mendapatkan keistimewaan root pada peranti yang terjejas.

Sebagai tambahan kepada fungsi utamanya, Triangulasi juga memperkenalkan implan TriangleDB ke dalam peranti yang terjejas. Walaupun Triangulasi itu sendiri mampu mengumpul maklumat sistem asas, kempen ini sangat bergantung pada TriangleDB untuk mengakses data yang sangat sensitif. Ini termasuk mendapatkan maklumat daripada pelbagai aplikasi, fail pengguna, bukti kelayakan log masuk dan data kritikal lain yang disimpan pada peranti.

Gabungan eksploitasi awal, muat turun komponen seterusnya daripada pelayan C&C, dan penggunaan perisian pengintip TriangleDB menunjukkan sifat kompleks dan pelbagai rupa operasi serangan Triangulasi.

Keupayaan Mengancam Ditemui dalam Triangulasi Perisian Mudah Alih

Sebahagian besar operasi Triangulasi dikhususkan untuk menghapuskan sebarang kesan kehadirannya dan membasmi bukti jangkitan awal. Ini termasuk pemadaman mesej berniat jahat yang memulakan rantaian serangan. Dengan memadamkan elemen ini, Triangulasi bertujuan untuk merumitkan proses pengesanan dan analisis, menjadikannya mencabar untuk mendedahkan aktivitinya. Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa walaupun usahanya, Triangulasi tidak dapat menghapuskan sepenuhnya semua tanda kompromi. Sisa-sisa jangkitan Triangulasi tertentu masih boleh dipulihkan menggunakan alat forensik digital.

Satu aspek penting Triangulasi ialah kekurangan mekanisme kegigihannya. Apabila peranti yang dijangkiti dibut semula, perisian hasad dihapuskan dengan berkesan daripada sistem. Satu-satunya kaedah yang digunakan oleh Triangulasi untuk mencegah penyingkiran tidak pada masanya ialah dengan menghalang kemas kini iOS. Dalam sesetengah kes, apabila percubaan untuk mengemas kini iOS dibuat, mesej ralat dipaparkan, menyatakan bahawa 'Kemas Kini Perisian Gagal. Ralat berlaku semasa memuat turun iOS.'

Walau bagaimanapun, adalah penting untuk memahami bahawa walaupun permulaan semula yang mudah boleh mengalih keluar Triangulasi, ia tidak menghalang kemungkinan sebarang jangkitan berikutnya oleh ancaman itu. Disebabkan oleh eksploitasi eksploitasi sifar klik, perisian hasad dengan mudah boleh menyelinap masuk ke peranti mangsa sekali lagi. Oleh itu, selepas iPhone telah dibut semula, perlu melakukan tetapan semula kilang peranti. Selepas penetapan semula, adalah penting untuk mengemas kini iOS dengan segera untuk memastikan peranti dilindungi daripada Triangulasi dan ancaman yang berkaitan dengannya.