Seguindo o anúncio sobre a campanha de espionagem chamada Operação Triangulação que infecta dispositivos iOS, os especialistas da Kaspersky detalham agora o implante spyware usado nos ataques. Apelidado de TriangleDB, ele concede aos invasores recursos de vigilância secreta. Este malware roda apenas na memória do dispositivo, o que garante que todas as evidências da infecção sejam apagadas ao reiniciar o dispositivo.
A Kaspersky revelou recentemente uma nova campanha avançada (Advanced Persistent Threat – APT) visando infectar dispositivos móveis rodando o iOS, por meio de uma mensagem enviada via iMessage. Após seis meses de investigação, os pesquisadores da empresa publicaram uma análise aprofundada sobre as vulnerabilidades exploradas no ataque e detalharam como o programa espião opera. O implante, apelidado de TriangleDB, é instalado explorando uma vulnerabilidade do kernel do iOS, para adquirir privilégios de administrador (root) no dispositivo alvo.
Uma vez instalado, ele opera apenas na memória do dispositivo, portanto, os vestígios da infecção desaparecerão após a reinicialização do dispositivo. Consequentemente, se a vítima reiniciar seu dispositivo, o invasor precisará reinfectá-lo novamente, enviando uma nova mensagem via iMessage, com o anexo malicioso para iniciar todo o processo de exploração. Se não ocorrer a reinicialização, o implante será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Operando como um spyware complexo, o TriangleDB executa uma ampla variedade de recursos de coleta e monitoramento de dados.
No total, o implante inclui 24 comandos com diversas funcionalidades, como por exemplo, interagir com o sistema de arquivos do dispositivo (podendo criar, modificar, roubar e remover arquivos), gerenciar processos (listagem e encerramento), extrair senhas para coletar credenciais e monitorar a geolocalização da vítima.
Enquanto analisavam o TriangleDB, os especialistas da Kaspersky descobriram também uma função CRConfig inativa, chamada “populateWithFieldsMacOSOnly”. Apesar dela não ser usada pelo implante para iOS, sua presença sugere a possibilidade de que dispositivos rodando o macOS poderiam ser alvos de um implante similar.
“Conforme nos aprofundamos no ataque, descobrimos um sofisticado implante de iOS que exibia inúmeras funções intrigantes. Continuamos analisando a campanha e manteremos todos atualizados com mais informações sobre esse sofisticado ataque. Convidamos a comunidade de cibersegurança a se unir, compartilhar conhecimento e colaborar para obter uma imagem mais clara sobre as ameaças existentes”, comenta Georgy Kucherin, especialista em segurança da equipe Global Research and Analysis Team (GReAT) da Kaspersky.
