Triangulation Mobile Malware

Triangulation — это очень сложное вредоносное ПО, специально разработанное для устройств iOS. Он работает как черный ход, создавая секретную точку входа для дальнейших угрожающих действий. Используя эксплойты с нулевым кликом, Triangulation может проникать в устройства, не требуя вмешательства пользователя, что делает его еще более опасным и сложным для обнаружения.

Оказавшись внутри устройства, Triangulation собирает основные данные устройства и пользователя, позволяя злоумышленникам получить ценную информацию. Кроме того, он может загружать и устанавливать дополнительные вредоносные компоненты, в том числе бэкдор-имплантат, известный как TriangleDB. Этот имплантат служит постоянным инструментом, который позволяет злоумышленникам сохранять доступ к скомпрометированному устройству и выполнять дальнейшие гнусные действия. Хотя в угрозе могут отсутствовать традиционные механизмы обеспечения устойчивости, она компенсирует этот факт за счет использования передовых методов проникновения и удаления любых следов своего присутствия, что затрудняет ее обнаружение и устранение.

Триангуляция представляет собой постоянную угрозу как минимум с 2019 года и продолжает представлять значительный риск по состоянию на июнь 2023 года. Стоит отметить, что версия, проанализированная экспертами по информационной безопасности, продемонстрировала способность эффективно атаковать устройства под управлением iOS 15.7, что указывает на ее адаптируемость к более новые версии iOS.

Атаки триангуляции начинаются с фишинговых сообщений, содержащих скомпрометированные вложения

Считается, что заражение триангуляцией автоматически запускается сообщением, содержащим небезопасное вложение, отправленным через iMessage. Само вложение использует эксплойт, использующий уязвимость ядра в системе iOS. Эта уязвимость позволяет выполнить вредоносный код, который запускает первый этап атаки триангуляции. По мере развития заражения несколько компонентов загружаются с сервера управления и контроля (C2). Эти компоненты служат для расширения возможностей вредоносного ПО и попытки получить привилегии суперпользователя на скомпрометированном устройстве.

В дополнение к своим основным функциям Triangulation также внедряет в скомпрометированное устройство имплантат TriangleDB. Хотя сама Triangulation способна собирать базовую системную информацию, кампания в значительной степени полагается на TriangleDB для доступа к конфиденциальным данным. Это включает в себя получение информации из различных приложений, пользовательских файлов, учетных данных для входа и других важных данных, хранящихся на устройстве.

Комбинация начального эксплойта, последующей загрузки компонентов с C&C-сервера и развертывания шпионского ПО TriangleDB демонстрирует сложный и многогранный характер операции атаки триангуляции.

Угрожающие возможности, обнаруженные в мобильной вредоносной программе Triangulation

Значительная часть работы Триангуляции посвящена устранению любых следов его присутствия и устранению признаков первоначальной инфекции. Это включает в себя удаление вредоносных сообщений, запускающих цепочку атак. Стирая эти элементы, Триангуляция стремится усложнить процесс обнаружения и анализа, что усложняет раскрытие ее деятельности. Однако важно отметить, что, несмотря на свои усилия, Триангуляция не может полностью устранить все признаки компрометации. Определенные остатки инфекции триангуляции все еще можно восстановить с помощью инструментов цифровой криминалистики.

Одним из примечательных аспектов триангуляции является отсутствие механизмов сохранения. Когда зараженное устройство перезагружается, вредоносное ПО эффективно удаляется из системы. Единственный метод, используемый Triangulation для предотвращения несвоевременного удаления, — это блокирование обновлений iOS. В некоторых случаях при попытке обновить iOS отображается сообщение об ошибке, в котором говорится, что «Ошибка обновления программного обеспечения. При загрузке iOS произошла ошибка».

Однако важно понимать, что, хотя простой перезапуск может удалить триангуляцию, он не предотвращает возможность любого последующего заражения угрозой. Из-за использования эксплойта с нулевым щелчком вредоносное ПО может легко снова проникнуть на устройство жертвы. Поэтому после перезагрузки iPhone необходимо выполнить сброс настроек устройства до заводских. После сброса необходимо незамедлительно обновить iOS, чтобы обеспечить защиту устройства от триангуляции и связанных с ней угроз.