Haziran ayında iPhone ve iPad cihazlarını hedefleyen yeni bir kampanyaya “TriangleDB” adı verildi. Bu kötü amaçlı yazılım bulaşma zinciri, etkilenen cihazlarda bir dizi açıktan yararlanma girişimi başlatan kötü amaçlı bir iMessage ekinden oluşur.
Üstelik bu kötü amaçlı yazılımda ek modülleri de çalıştırabilen çeşitli modüller bulundu. Enfeksiyon zinciri hariç iki doğrulayıcı vardı: “JavaScript doğrulayıcı” Ve “İkili Doğrulayıcı.”
Bu doğrulayıcılar, hedeflenen cihazlardan çok sayıda bilgi toplar ve bunları daha sonra tehdit aktörleri tarafından ele geçirilen cihazlara erişmek ve cihazın bir test cihazı mı yoksa kurban cihazı mı olduğunu tespit etmek için kullanılan bir C2 sunucusuna aktarır.
JavaScript Doğrulayıcı
Buna ek olarak, bu kötü amaçlı yazılım, görünmez iMessage ekleri aracılığıyla yürütülen sıfır tıklamayla yapılan bir istismardır. Bu JS doğrulayıcının temel amacı, etki alanı yedekleme tavşanına gizlice benzersiz bir URL açmaktır.[.]com.
Bu web sitesi, NaCl şifreleme kütüphanesinin karartılmış bir JavaScript kodunu ve şifrelenmiş bir veriyi içerir. Bu JS kodu, WebGL ile pembe bir arka plan üzerine sarı bir üçgen çizerek ve sağlama toplamını hesaplayarak Kanvas Parmak İzi tekniğini gerçekleştirir.
Sonunda enfeksiyon zincirinin bir sonraki aşamasını almak için toplanan verileri şifreler ve aynı veriye aktarır.
İkili Doğrulayıcı
Bu doğrulayıcı TriangleDB implantının kurulumundan önce başlatılır. İkili doğrulayıcı, kilitlenme günlüğünün kaldırılmasından, ids-pub-id.db veya Knowledge.db’nin kaldırılmasından, kişiselleştirilmiş reklam izlemenin açılmasından ve çok daha fazlasından sorumludur.
Tüm bu bilgileri topladıktan sonra şifrelenmiş verileri (işlem listesi, kullanıcı bilgileri vb.) C2 sunucusuna gönderir.
Ek olarak, bu kötü amaçlı yazılım mikrofonları kaydedebilir, Anahtarlık sızıntısını kaydedebilir, SQLite’ı çalabilir ve konumu izleyebilir.
Günlük Takibi
İmplant, C2’si ile iletişim kurduktan sonra, günlük almayla ilişkili olan ve enfeksiyonun izlerini gösteren birden fazla CRXShowTables ve CRXFetchRecord komutunu alır. Günlükler Kilitlenme günlük dosyalarını, Veritabanı dosyalarını ve diğerlerini içerir.
Mikrofon Kaydı
“msu3h” olarak adlandırılan bu modül, bu kötü amaçlı yazılımın en istilacı modüllerinden biridir. Ancak bu modül yalnızca etkilenen cihazın şarjı %10’un üzerinde olduğunda daha fazla işlem gerçekleştirir.
Buna ek olarak, suspendOnDeviceInUse (uzaktan kaydı durdurma) ve syslogRelayOverride (sistem günlükleri yakalanırsa sesin kaydedilmesi gerekiyorsa) gibi daha fazla parametre de içerir.
Anahtarlık Sızıntısı
Bu modül tamamen iphone-dataprotection.keychainviewer projesindeki koda dayanıyordu ancak tehdit aktörünün benzer modüllerin varlığında dahi bu modülü neden uyguladığına dair bilgiler zaten bilinmiyor.
SQLite çalmak
Pek çok iOS uygulamasının dahili verileri SQLite veritabanını kullanıyor, dolayısıyla tehdit aktörü SQLite DB hırsızlığı için çeşitli modüller uyguladı. Tüm SQLite DB çalma modülleri aynı kod tabanına ve şifrelenmiş konfigürasyona sahiptir.
Bu kötü amaçlı yazılım hakkında, bu TriangleDB implantasyonu hakkında ayrıntılı bilgi sağlayan SecureList tarafından eksiksiz bir rapor yayınlandı.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.