Triangulation Mobile Malware

Triangulation to wysoce wyrafinowane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania urządzeń z systemem iOS. Działa jako backdoor, tworząc tajny punkt wejścia dla dalszych niebezpiecznych działań. Wykorzystując exploity typu zero-click, Triangulation może infiltrować urządzenia bez konieczności jakiejkolwiek interakcji ze strony użytkownika, co czyni go jeszcze bardziej szkodliwym i trudnym do wykrycia.

Po wejściu do urządzenia Triangulation gromadzi podstawowe dane urządzenia i użytkownika, umożliwiając atakującym uzyskanie cennych informacji. Ponadto ma możliwość pobierania i instalowania dodatkowych złośliwych komponentów, w tym implantu backdoora znanego jako TriangleDB. Implant ten służy jako trwałe narzędzie, które umożliwia atakującym utrzymanie dostępu do zaatakowanego urządzenia i wykonywanie dalszych niecnych działań. Chociaż zagrożeniu może brakować tradycyjnych mechanizmów zapewniających trwałość, rekompensuje ten fakt, stosując zaawansowane metody infiltracji i usuwając wszelkie ślady jego obecności, co utrudnia jego wykrycie i wyeliminowanie.

Triangulacja jest stałym zagrożeniem od co najmniej 2019 r. i nadal stanowi poważne ryzyko od czerwca 2023 r. Warto zauważyć, że wersja analizowana przez ekspertów ds. nowsze wersje iOS.

Ataki triangulacyjne rozpoczynają się od wiadomości phishingowych zawierających zainfekowane załączniki

Uważa się, że infekcje triangulacyjne są uruchamiane automatycznie przez wiadomość zawierającą niebezpieczny załącznik wysłaną za pośrednictwem iMessage. Sam załącznik wykorzystuje exploita, który wykorzystuje lukę w jądrze systemu iOS. Luka ta umożliwia wykonanie złośliwego kodu, który rozpoczyna pierwszy etap ataku triangulacyjnego. W miarę postępu infekcji wiele komponentów jest pobieranych z serwera Command-and-Control (C2). Komponenty te służą eskalacji możliwości złośliwego oprogramowania i próbie uzyskania uprawnień roota na zaatakowanym urządzeniu.

Oprócz swoich podstawowych funkcji Triangulation wprowadza również implant TriangleDB do zaatakowanego urządzenia. Chociaż Triangulation sama w sobie jest w stanie zebrać podstawowe informacje o systemie, kampania w dużym stopniu polega na TriangleDB, aby uzyskać dostęp do bardzo wrażliwych danych. Obejmuje to pobieranie informacji z różnych aplikacji, plików użytkownika, danych logowania i innych krytycznych danych przechowywanych na urządzeniu.

Połączenie początkowego exploita, późniejszego pobrania komponentów z serwera C&C oraz wdrożenia oprogramowania szpiegującego TriangleDB pokazuje złożoną i wieloaspektową naturę operacji ataku Triangulation.

Groźne możliwości wykryte w mobilnym złośliwym oprogramowaniu triangulacyjnym

Znaczna część operacji Triangulacji poświęcona jest eliminowaniu wszelkich śladów jej obecności i usuwaniu śladów pierwotnej infekcji. Obejmuje to usuwanie złośliwych wiadomości, które rozpoczynają łańcuch ataków. Usuwając te elementy, Triangulation ma na celu skomplikowanie procesu wykrywania i analizy, utrudniając odkrycie jego działań. Należy jednak zauważyć, że pomimo swoich wysiłków triangulacja nie może całkowicie usunąć wszystkich oznak kompromisu. Niektóre pozostałości infekcji Triangulation można nadal odzyskać za pomocą cyfrowych narzędzi kryminalistycznych.

Jednym z godnych uwagi aspektów triangulacji jest brak mechanizmów trwałości. Gdy zainfekowane urządzenie zostanie ponownie uruchomione, szkodliwe oprogramowanie jest skutecznie eliminowane z systemu. Jedyną metodą stosowaną przez Triangulation, aby zapobiec przedwczesnemu usunięciu, jest blokowanie aktualizacji iOS. W niektórych przypadkach podczas próby aktualizacji systemu iOS wyświetlany jest komunikat o błędzie informujący, że „Aktualizacja oprogramowania nie powiodła się. Wystąpił błąd podczas pobierania iOS.'

Jednak bardzo ważne jest, aby zrozumieć, że chociaż proste ponowne uruchomienie może usunąć triangulację, nie zapobiega to możliwości późniejszej infekcji przez zagrożenie. Dzięki wykorzystaniu luki polegającej na zerowym kliknięciu złośliwe oprogramowanie mogło łatwo ponownie przedostać się na urządzenie ofiary. Dlatego po ponownym uruchomieniu iPhone'a konieczne jest przywrócenie ustawień fabrycznych urządzenia. Po zresetowaniu konieczne jest natychmiastowe zaktualizowanie systemu iOS, aby zapewnić ochronę urządzenia przed triangulacją i związanymi z nią zagrożeniami.