Triangulation Mobile Malware

Triangulation — це дуже складна шкідлива програма, спеціально розроблена для пристроїв iOS. Він працює як бекдор, створюючи секретну точку входу для подальших загрозливих дій. Використовуючи експлойти з нульовим кліком, Triangulation може проникати на пристрої, не вимагаючи жодної взаємодії з користувачем, що робить його ще більш шкідливим і складним для виявлення.

Потрапивши всередину пристрою, Triangulation збирає основні дані про пристрій і користувача, дозволяючи зловмисникам отримати цінну інформацію. Крім того, він має можливість завантажувати та встановлювати додаткові шкідливі компоненти, включаючи бекдор-імплант, відомий як TriangleDB. Цей імплантат служить постійним інструментом, який дозволяє зловмисникам підтримувати доступ до скомпрометованого пристрою та здійснювати подальші мерзенні дії. Хоча у загрози можуть бути відсутні традиційні механізми забезпечення стійкості, вона компенсує цей факт за допомогою передових методів проникнення та видалення будь-яких слідів її присутності, що ускладнює її виявлення та усунення.

Триангуляція є постійною загрозою принаймні з 2019 року та продовжує становити значний ризик станом на червень 2023 року. Варто зазначити, що версія, проаналізована експертами з інформаційної безпеки, продемонструвала можливість ефективного націлювання на пристрої під керуванням iOS 15.7, що свідчить про її адаптивність до новіші версії iOS.

Атаки тріангуляції починаються з фішингових повідомлень, які містять зламані вкладення

Вважається, що тріангуляційні інфекції запускаються автоматично через повідомлення, що містить небезпечне вкладення, надіслане через iMessage. Саме вкладення зловживає експлойтом, який використовує вразливість ядра в системі iOS. Ця вразливість дозволяє виконувати шкідливий код, який запускає перший етап атаки Triangulation. У міру зараження кілька компонентів завантажуються з сервера командування та керування (C2). Ці компоненти служать для посилення можливостей зловмисного програмного забезпечення та спроби отримати привілеї root на скомпрометованому пристрої.

На додаток до своїх основних функцій Triangulation також вводить імплантат TriangleDB у зламаний пристрій. Хоча сама Triangulation здатна збирати базову системну інформацію, кампанія значною мірою покладається на TriangleDB для доступу до дуже конфіденційних даних. Це включає отримання інформації з різних програм, файлів користувача, облікових даних для входу та інших важливих даних, що зберігаються на пристрої.

Комбінація початкового експлойту, подальшого завантаження компонентів із C&C-сервера та розгортання шпигунського програмного забезпечення TriangleDB демонструє складний і багатогранний характер операції атаки Triangulation.

Загрозливі можливості, виявлені в мобільному зловмисному програмному забезпеченні Triangulation

Значна частина діяльності Triangulation спрямована на усунення будь-яких слідів його присутності та викорінення доказів первинної інфекції. Це включає видалення шкідливих повідомлень, які починають ланцюг атак. Стираючи ці елементи, Triangulation намагається ускладнити процес виявлення та аналізу, що ускладнює розкриття його діяльності. Однак важливо зазначити, що, незважаючи на зусилля, Triangulation не може повністю усунути всі ознаки компромісу. Певні залишки інфекції Triangulation все ще можна відновити за допомогою інструментів цифрової криміналістики.

Одним із помітних аспектів тріангуляції є відсутність у ній механізмів стійкості. Коли інфікований пристрій перезавантажується, зловмисне програмне забезпечення ефективно видаляється з системи. Єдиний метод, який застосовує Triangulation для запобігання несвоєчасному видаленню, — блокування оновлень iOS. У деяких випадках, коли робиться спроба оновити iOS, відображається повідомлення про помилку, в якому зазначено, що «Оновлення програмного забезпечення не вдалося». Під час завантаження iOS сталася помилка.

Однак важливо розуміти, що хоча простий перезапуск може видалити Triangulation, він не запобігає можливості будь-якого подальшого зараження загрозою. Завдяки використанню експлойту з нульовим кліком зловмисне програмне забезпечення могло легко знову проникнути на пристрій жертви. Тому після перезавантаження iPhone необхідно виконати скидання пристрою до заводських налаштувань. Після скидання необхідно негайно оновити iOS, щоб переконатися, що пристрій захищено від тріангуляції та пов’язаних з нею загроз.