Triangulation Mobile Malware

Triangulation 是一种高度复杂的恶意软件，专门针对 iOS 设备而设计。它作为后门运行，为进一步的威胁活动创建秘密入口点。通过利用零点击漏洞，三角测量可以在不需要任何用户交互的情况下渗透设备，从而使其更加有害且难以检测。

一旦进入设备内部，三角测量就会收集基本的设备和用户数据，使攻击者能够获得有价值的信息。此外，它还能够下载并安装其他恶意组件，包括称为 TriangleDB 的后门植入。该植入程序充当持久性工具，使攻击者能够保持对受感染设备的访问并执行进一步的恶意操作。虽然威胁可能缺乏传统的持久性确保机制，但它通过采用先进的渗透方法并消除其存在的任何痕迹来弥补这一事实，从而使其难以检测和消除。

至少自 2019 年以来，三角测量一直是持续存在的威胁，并且截至 2023 年 6 月，仍将构成重大风险。值得注意的是，信息安全专家分析的版本已证明能够有效针对运行 iOS 15.7 的设备，这表明其对较新的 iOS 版本。

三角测量攻击从携带受损附件的网络钓鱼消息开始

据信，三角测量感染是由通过 iMessage 发送的包含不安全附件的消息自动触发的。附件本身滥用了利用 iOS 系统内的内核漏洞的漏洞。该漏洞允许执行恶意代码，从而启动三角测量攻击的第一阶段。随着感染的进展，将从命令与控制 (C2) 服务器下载多个组件。这些组件的目的是升级恶意软件的功能并尝试获得受感染设备的 root 权限。

除了其主要功能外，Triangulation 还将 TriangleDB 植入物引入到受感染的设备中。虽然 Triangulation 本身能够收集基本系统信息，但该活动严重依赖 TriangleDB 来访问高度敏感的数据。这包括从各种应用程序、用户文件、登录凭据以及设备上存储的其他关键数据检索信息。

最初的利用、随后从 C&C 服务器下载组件以及 TriangleDB 间谍软件的部署相结合，证明了 Triangulation 攻击操作的复杂性和多方面性。

Triangulation 移动恶意软件中发现的威胁功能

三角测量行动的很大一部分致力于消除其存在的任何痕迹并消除最初感染的证据。这包括删除启动攻击链的恶意消息。通过消除这些元素，三角测量旨在使检测和分析过程复杂化，从而使揭露其活动变得具有挑战性。然而，值得注意的是，尽管三角测量做出了努力，但仍无法完全消除所有妥协的迹象。三角测量感染的某些残留物仍然可以使用数字取证工具来恢复。

三角测量的一个值得注意的方面是它缺乏持久性机制。当受感染的设备重新启动时，恶意软件就会被有效地从系统中消除。 Triangulation 防止不及时删除的唯一方法是阻止 iOS 更新。在某些情况下，当尝试更新 iOS 时，会显示一条错误消息，指出“软件更新失败”。下载 iOS 时出错。”

然而，重要的是要了解，虽然简单的重新启动可以消除三角测量，但它并不能阻止威胁后续感染的可能性。由于利用了零点击漏洞，恶意软件可以轻松地再次潜入受害者的设备。因此，iPhone重启后，需要对设备进行恢复出厂设置。重置后，必须立即更新 iOS，以确保设备免受三角测量及其相关威胁。