Triangulation Mobile Malware

Triangulation は、特に iOS デバイスをターゲットにするように設計された非常に洗練されたマルウェアです。これはバックドアとして動作し、さらなる脅威となる活動のための秘密の侵入ポイントを作成します。 Triangulation は、ゼロクリック エクスプロイトを悪用することで、ユーザーの操作を必要とせずにデバイスに侵入できるため、有害性がさらに高まり、検出が困難になります。

Triangulation はデバイスに侵入すると、基本的なデバイスとユーザーのデータを収集し、攻撃者が貴重な情報を入手できるようにします。さらに、TriangleDB として知られるバックドア インプラントなど、追加の悪意のあるコンポーネントをダウンロードしてインストールする機能もあります。このインプラントは、攻撃者が侵害されたデバイスへのアクセスを維持し、さらに悪質な行為を実行できるようにする永続的なツールとして機能します。この脅威には従来の持続性を保証するメカニズムが欠けている可能性がありますが、高度な侵入手法を採用し、その存在の痕跡をすべて削除することでこの事実を補い、検出と排除を困難にしています。

三角測量は少なくとも 2019 年から継続的な脅威であり、2023 年 6 月の時点でも重大なリスクをもたらし続けています。情報セキュリティの専門家によって分析されたバージョンでは、iOS 15.7 を実行しているデバイスを効果的にターゲットにする機能が実証されており、iOS 15.7 が新しい iOS バージョン。

三角測量攻撃は、侵害された添付ファイルを運ぶフィッシング メッセージから始まる

Triangulation 感染は、iMessage 経由で送信された安全でない添付ファイルを含むメッセージによって自動的に引き起こされると考えられています。添付ファイル自体は、iOS システム内のカーネルの脆弱性を悪用するエクスプロイトを悪用します。この脆弱性により、悪意のあるコードの実行が可能になり、Triangulation 攻撃の第 1 段階が開始されます。感染が進行すると、コマンドアンドコントロール (C2) サーバーから複数のコンポーネントがダウンロードされます。これらのコンポーネントは、マルウェアの機能をエスカレートし、侵害されたデバイス上で root 権限を取得しようとする目的を果たします。

Triangulation は、その主な機能に加えて、侵害されたデバイスに TriangleDB インプラントを導入します。 Triangulation 自体は基本的なシステム情報を収集できますが、このキャンペーンは機密性の高いデータにアクセスするために TriangleDB に大きく依存しています。これには、さまざまなアプリケーション、ユーザー ファイル、ログイン資格情報、デバイスに保存されているその他の重要なデータからの情報の取得が含まれます。

最初のエクスプロイト、その後の C&C サーバーからのコンポーネントのダウンロード、および TriangleDB スパイウェアの展開の組み合わせは、Triangulation 攻撃操作の複雑かつ多面的な性質を示しています。

Triangulation モバイル マルウェアで発見された脅威機能

Triangulation の活動の重要な部分は、その存在の痕跡を排除し、最初の感染の証拠を根絶することに専念しています。これには、攻撃チェーンを開始する悪意のあるメッセージの削除が含まれます。 Triangulation はこれらの要素を消去することで、検出と分析のプロセスを複雑にし、その活動を明らかにすることを困難にすることを目的としています。ただし、Triangulation はその努力にもかかわらず、侵害の兆候をすべて完全に取り除くことはできないことに注意することが重要です。 Triangulation 感染の一部の残存物は、デジタル フォレンジック ツールを使用してまだ回復できます。

Triangulation の注目すべき側面の 1 つは、永続化メカニズムが欠如していることです。感染したデバイスが再起動されると、マルウェアはシステムから効果的に除去されます。時期尚早の削除を防ぐために Triangulation が採用している唯一の方法は、iOS のアップデートを妨害することです。 iOSをアップデートしようとすると「ソフトウェアアップデートに失敗しました」というエラーメッセージが表示される場合があります。 iOS のダウンロード中にエラーが発生しました。」

ただし、単純な再起動で Triangulation を削除できますが、その後の脅威による感染の可能性を防ぐことはできないことを理解することが重要です。ゼロクリックエクスプロイトの悪用により、マルウェアは再び被害者のデバイスに簡単に侵入する可能性があります。したがって、iPhone を再起動した後、デバイスを工場出荷時設定にリセットする必要があります。リセット後は、デバイスが Triangulation およびそれに関連する脅威から確実に保護されるように、iOS を速やかに更新することが不可欠です。