Kaspersky-experts onthullen in een nieuw rapport over de Operation Triangulation-campagne, die gericht is op iOS-apparaten, details over de spyware die tijdens de aanvallen werd gebruikt. De spyware, TriangleDB genaamd, geeft aanvallers geheime surveillancemogelijkheden. Het werkt alleen in het geheugen van het geïnfecteerde apparaat en zorgt ervoor dat al het bewijs van de spyware wordt gewist zodra het apparaat opnieuw wordt opgestart.
Kaspersky rapporteerde onlangs over een nieuwe mobiele Advanced Persistent Threat (APT) campagne die specifiek gericht is op iOS-apparaten via iMessage. Na het zes maanden durende onderzoek hebben de onderzoekers van het bedrijf een diepgaande analyse van de exploitatieketen gepubliceerd en details van de spyware blootgelegd. TriangleDB wordt ingezet door gebruik te maken van een kwetsbaarheid in de kernel om rootrechten te verkrijgen op het beoogde iOS-apparaat. Eenmaal geïmplementeerd, werkt het alleen in het geheugen van het apparaat, waardoor sporen van de infectie verdwijnen zodra het apparaat opnieuw wordt opgestart. Als het slachtoffer zijn apparaat opnieuw opstart, moet de aanvaller het opnieuw infecteren door een iMessage te sturen met een schadelijke bijlage, waardoor het hele uitbuitingsproces opnieuw wordt gestart. Als het apparaat niet opnieuw wordt opgestart, zal de spyware zichzelf na 30 dagen automatisch verwijderen, tenzij de aanvallers deze periode verlengen. TriangleDB werkt als complexe spyware en voert een breed scala aan gegevensverzameling- en bewakingsmogelijkheden uit.
In totaal bevat TriangleDB 24 commando's met verschillende functionaliteiten. Deze commando's dienen verschillende doelen, zoals interactie met het bestandssysteem van het apparaat (waaronder het aanmaken, wijzigen en verwijderen van bestanden), het beheren van processen, het extraheren van sleutelhangeritems om gegevens van het slachtoffer te verzamelen en het monitoren van de geolocatie van het slachtoffer.
Tijdens het analyseren van TriangleDB ontdekten Kaspersky-experts dat de CRConfig-klasse een ongebruikte methode bevat met de naam populateWithFieldsMacOSOnly. Hoewel deze methode niet werd gebruikt in de iOS spyware, suggereert de aanwezigheid ervan de mogelijkheid om macOS-apparaten aan te vallen met een soortgelijke spyware.
"Toen we de aanval onderzochten, ontdekten we een geavanceerde iOS spyware die vele intrigerende eigenaardigheden vertoonde. We blijven de campagne analyseren en zullen iedereen op de hoogte houden van verdere inzichten in deze geraffineerde aanval. We roepen de cybersecuritygemeenschap op om zich te verenigen, kennis te delen en samen te werken om een duidelijker beeld te krijgen van de bedreigingen die er zijn," zegt Georgy Kucherin, security expert bij Kaspersky Global Research and Analysis Team (GReAT).
Ga voor meer informatie over de TriangleDB spyware naar Securelist.com
Kaspersky-onderzoekers hebben een speciaal 'triangle_check' hulpprogramma uitgebracht dat automatisch zoekt naar de malware-infectie. In deze blogpost vind je een gedetailleerde handleiding voor het controleren van je apparaat.
