Triangulation Mobile Malware

La triangulation est un logiciel malveillant hautement sophistiqué spécialement conçu pour cibler les appareils iOS. Il fonctionne comme une porte dérobée, créant un point d'entrée secret pour d'autres activités menaçantes. En exploitant les exploits sans clic, la triangulation peut infiltrer les appareils sans nécessiter aucune interaction de l'utilisateur, ce qui la rend encore plus nuisible et difficile à détecter.

Une fois à l'intérieur d'un appareil, la triangulation rassemble les données de base de l'appareil et de l'utilisateur, permettant aux attaquants d'obtenir des informations précieuses. De plus, il a la capacité de télécharger et d'installer des composants malveillants supplémentaires, y compris un implant de porte dérobée connu sous le nom de TriangleDB. Cet implant sert d'outil persistant qui permet aux attaquants de conserver l'accès à l'appareil compromis et d'effectuer d'autres actions néfastes. Bien que la menace puisse manquer de mécanismes traditionnels garantissant la persistance, elle compense ce fait en employant des méthodes d'infiltration avancées et en supprimant toute trace de sa présence, ce qui la rend difficile à détecter et à éliminer.

La triangulation est une menace persistante depuis au moins 2019 et continue de poser un risque important à partir de juin 2023. Il convient de noter que la version analysée par des experts en sécurité de l'information a démontré sa capacité à cibler efficacement les appareils exécutant iOS 15.7, indiquant son adaptabilité à les nouvelles versions d'iOS.

Les attaques par triangulation commencent par des messages de phishing contenant des pièces jointes compromises

On pense que les infections par triangulation sont déclenchées automatiquement par un message contenant une pièce jointe non sécurisée envoyée via iMessage. La pièce jointe elle-même abuse d'un exploit qui tire parti d'une vulnérabilité du noyau dans le système iOS. Cette vulnérabilité permet l'exécution de code malveillant, qui déclenche la première étape de l'attaque par triangulation. Au fur et à mesure que l'infection progresse, plusieurs composants sont téléchargés à partir d'un serveur Command-and-Control (C2). Ces composants ont pour but d'augmenter les capacités du logiciel malveillant et de tenter d'obtenir les privilèges root sur l'appareil compromis.

En plus de ses fonctions principales, la triangulation introduit également l'implant TriangleDB dans le dispositif compromis. Alors que Triangulation elle-même est capable de collecter des informations système de base, la campagne s'appuie fortement sur TriangleDB pour accéder à des données hautement sensibles. Cela inclut la récupération d'informations à partir de diverses applications, fichiers utilisateur, identifiants de connexion et autres données critiques stockées sur l'appareil.

La combinaison de l'exploit initial, du téléchargement ultérieur de composants à partir du serveur C&C et du déploiement du logiciel espion TriangleDB démontre la nature complexe et multiforme de l'opération d'attaque par triangulation.

Les capacités menaçantes découvertes dans le logiciel malveillant Triangulation Mobile

Une partie importante des opérations de Triangulation est consacrée à l'élimination de toute trace de sa présence et à l'éradication des preuves de l'infection initiale. Cela inclut la suppression des messages malveillants qui déclenchent la chaîne d'attaque. En effaçant ces éléments, Triangulation vise à compliquer le processus de détection et d'analyse, rendant difficile la découverte de ses activités. Cependant, il est important de noter que malgré ses efforts, Triangulation ne peut pas supprimer complètement tous les signes de compromis. Certains vestiges d'une infection par triangulation peuvent encore être récupérés à l'aide d'outils de criminalistique numérique.

Un aspect notable de la triangulation est son manque de mécanismes de persistance. Lorsque l'appareil infecté est redémarré, le logiciel malveillant est effectivement éliminé du système. La seule méthode employée par Triangulation pour empêcher une suppression intempestive consiste à bloquer les mises à jour iOS. Dans certains cas, lorsqu'une tentative de mise à jour de l'iOS est effectuée, un message d'erreur s'affiche, indiquant que "La mise à jour du logiciel a échoué". Une erreur s'est produite lors du téléchargement d'iOS.'

Cependant, il est crucial de comprendre que même si un simple redémarrage peut supprimer la triangulation, il n'empêche pas la possibilité d'une infection ultérieure par la menace. En raison de l'exploitation d'un exploit sans clic, le logiciel malveillant pourrait facilement se faufiler à nouveau sur l'appareil de la victime. Par conséquent, après le redémarrage d'un iPhone, il est nécessaire d'effectuer une réinitialisation d'usine de l'appareil. Après la réinitialisation, il est impératif de mettre à jour rapidement l'iOS pour s'assurer que l'appareil est protégé contre la triangulation et ses menaces associées.