Triangulation Mobile Malware

Триангулатион је веома софистицирани малвер посебно дизајниран за циљање иОС уређаја. Делује као бацкдоор, стварајући тајну улазну тачку за даље претеће активности. Коришћењем експлоатације без клика, Триангулатион може да се инфилтрира у уређаје без потребе за интеракцијом корисника, што га чини још штетнијим и изазовнијим за откривање.

Једном у уређају, Триангулатион прикупља основне податке о уређају и кориснику, омогућавајући нападачима да добију вредне информације. Штавише, има могућност преузимања и инсталирања додатних злонамерних компоненти, укључујући бацкдоор имплант познат као ТрианглеДБ. Овај имплант служи као трајна алатка која омогућава нападачима да задрже приступ компромитованом уређају и изведу даље злобне радње. Иако претњи можда недостају традиционални механизми који обезбеђују постојаност, она компензује ову чињеницу применом напредних метода инфилтрације и уклањањем било каквих трагова њеног присуства, што отежава откривање и уклањање.

Триангулација је стална претња од најмање 2019. године и наставља да представља значајан ризик од јуна 2023. Вреди напоменути да је верзија коју су анализирали стручњаци за безбедност информација показала способност да ефикасно циља уређаје који користе иОС 15.7, што указује на њену прилагодљивост новије верзије иОС-а.

Напади триангулације почињу са пхисхинг порукама које носе компромитоване прилоге

Верује се да се инфекције триангулацијом аутоматски покрећу поруком која садржи небезбедни прилог послатом преко иМессаге-а. Сам прилог злоупотребљава експлоатацију која користи предност рањивости кернела унутар иОС система. Ова рањивост омогућава извршавање злонамерног кода, чиме почиње прва фаза напада Триангулације. Како инфекција напредује, више компоненти се преузима са сервера за команду и контролу (Ц2). Ове компоненте служе за ескалацију могућности малвера и покушај да се стекну роот привилегије на компромитованом уређају.

Поред својих примарних функција, Триангулатион такође уводи ТрианглеДБ имплант у компромитовани уређај. Док је сама Триангулатион способна да прикупи основне системске информације, кампања се у великој мери ослања на ТрианглеДБ за приступ веома осетљивим подацима. Ово укључује преузимање информација из различитих апликација, корисничких датотека, акредитива за пријаву и других критичних података ускладиштених на уређају.

Комбинација иницијалне експлоатације, накнадног преузимања компоненти са Ц&Ц сервера и примене ТрианглеДБ шпијунског софтвера демонстрирају сложену и вишеструку природу операције Триангулатион напада.

Претеће могућности откривене у мобилном малверу Триангулатион

Значајан део операције Триангулатион-а посвећен је елиминисању било каквих трагова његовог присуства и искорењивању доказа почетне инфекције. Ово укључује брисање злонамерних порука које покрећу ланац напада. Брисањем ових елемената, Триангулатион има за циљ да закомпликује процес откривања и анализе, чинећи га изазовним откривање његових активности. Међутим, важно је напоменути да упркос својим напорима, Триангулација не може у потпуности уклонити све знакове компромиса. Одређени остаци инфекције триангулацијом се и даље могу опоравити помоћу дигиталних форензичких алата.

Један значајан аспект триангулације је недостатак механизама постојаности. Када се заражени уређај поново покрене, малвер се ефикасно елиминише из система. Једини метод који користи Триангулатион да спречи неблаговремено уклањање је ометање ажурирања иОС-а. У неким случајевима, када се покуша ажурирати иОС, приказује се порука о грешци у којој се наводи да „Ажурирање софтвера није успело. Дошло је до грешке при преузимању иОС-а.'

Међутим, кључно је разумети да, иако једноставно поновно покретање може да уклони Триангулацију, то не спречава могућност било какве накнадне инфекције претњом. Због искоришћавања експлоатације без клика, малвер би се лако могао поново ушуњати на уређај жртве. Стога, након што се иПхоне поново покрене, потребно је извршити фабричко ресетовање уређаја. Након ресетовања, неопходно је одмах ажурирати иОС како бисте били сигурни да је уређај заштићен од триангулације и повезаних претњи.