Kaspersky onthult informatie over software die iOS-apparaten aanvalt

SGGPO 30-06-2023 15:12

Naar aanleiding van berichten over de Operation Triangulation-campagne die gericht was op iOS-apparaten, hebben experts van Kaspersky details vrijgegeven over de spyware die bij de aanval werd gebruikt.

TriangleDB-malware treft iOS-apparaten

Kaspersky rapporteerde onlangs over een nieuwe mobiele APT-campagne (Advanced Persistent Threat) die iOS-apparaten via iMessage target. Na een onderzoek van zes maanden hebben onderzoekers van Kaspersky een diepgaande analyse van de exploitketen en gedetailleerde bevindingen over de spyware-infectie gepubliceerd.

De malware, TriangleDB genaamd, wordt verspreid door misbruik te maken van een kwetsbaarheid die root-toegang op iOS-apparaten mogelijk maakt. Eenmaal gestart, werkt de malware alleen in het geheugen van het apparaat, waardoor sporen van de infectie verdwijnen wanneer het apparaat opnieuw wordt opgestart. Als het slachtoffer het apparaat opnieuw opstart, moet de aanvaller het apparaat opnieuw infecteren door een nieuwe iMessage te sturen met een schadelijke bijlage, waardoor het hele exploitproces opnieuw begint.

Als het apparaat niet opnieuw wordt opgestart, wordt de software na 30 dagen automatisch verwijderd, tenzij de aanvallers deze periode verlengen. TriangleDB fungeert als geavanceerde spyware en voert diverse functies voor gegevensverzameling en -monitoring uit.

De software bevat 24 opdrachten met diverse functies. Deze opdrachten dienen verschillende doeleinden, zoals interactie met het bestandssysteem van het apparaat (inclusief het aanmaken, wijzigen, extraheren en verwijderen van bestanden), het beheren van processen (inventariseren en beëindigen), het extraheren van strings om inloggegevens van het slachtoffer te verzamelen en het bewaken van de geografische locatie van het slachtoffer.

Tijdens de analyse van TriangleDB ontdekten Kaspersky-experts dat de CRConfig-klasse een ongebruikte methode bevat genaamd populateWithFieldsMacOSOnly. Hoewel deze niet wordt gebruikt bij de iOS-infectie, suggereert de aanwezigheid ervan dat macOS-apparaten mogelijk doelwit zijn.

"Toen we ons verder verdiepten in de aanval, ontdekten we dat deze geavanceerde iOS-infectie verschillende vreemde kenmerken had. We blijven de campagne analyseren en houden iedereen op de hoogte zodra we meer te weten komen over deze geavanceerde aanval. We dringen er bij de cybersecuritygemeenschap op aan om kennis te delen en samen te werken om een ​​duidelijker beeld te krijgen van de bestaande bedreigingen", aldus Georgy Kucherin, beveiligingsexpert bij Kaspersky's Global Research and Analysis Team.