Triangulation Mobile Malware

La triangulación es un malware altamente sofisticado diseñado específicamente para apuntar a dispositivos iOS. Funciona como una puerta trasera, creando un punto de entrada secreto para otras actividades amenazantes. Al aprovechar las vulnerabilidades de cero clics, la triangulación puede infiltrarse en los dispositivos sin requerir ninguna interacción del usuario, lo que la hace aún más dañina y difícil de detectar.

Una vez dentro de un dispositivo, la triangulación recopila datos básicos del dispositivo y del usuario, lo que permite a los atacantes obtener información valiosa. Además, tiene la capacidad de descargar e instalar componentes maliciosos adicionales, incluido un implante de puerta trasera conocido como TriangleDB. Este implante sirve como una herramienta persistente que permite a los atacantes mantener el acceso al dispositivo comprometido y llevar a cabo más acciones nefastas. Si bien la amenaza puede carecer de los mecanismos tradicionales que garantizan la persistencia, compensa este hecho empleando métodos de infiltración avanzados y eliminando cualquier rastro de su presencia, lo que dificulta su detección y eliminación.

La triangulación ha sido una amenaza persistente desde al menos 2019 y continúa representando un riesgo significativo a partir de junio de 2023. Vale la pena señalar que la versión analizada por expertos en seguridad de la información ha demostrado la capacidad de apuntar de manera efectiva a dispositivos que ejecutan iOS 15.7, lo que indica su adaptabilidad a las versiones más nuevas de iOS.

Los ataques de triangulación comienzan con mensajes de phishing que contienen archivos adjuntos comprometidos

Se cree que las infecciones de triangulación se desencadenan automáticamente por un mensaje que contiene un archivo adjunto no seguro enviado a través de iMessage. El archivo adjunto en sí abusa de un exploit que aprovecha una vulnerabilidad del kernel dentro del sistema iOS. Esta vulnerabilidad permite la ejecución de código malicioso, lo que inicia la primera etapa del ataque Triangulación. A medida que avanza la infección, se descargan varios componentes de un servidor de comando y control (C2). Estos componentes tienen el propósito de escalar las capacidades del malware e intentar obtener privilegios de root en el dispositivo comprometido.

Además de sus funciones principales, Triangulación también introduce el implante TriangleDB en el dispositivo comprometido. Si bien Triangulación en sí es capaz de recopilar información básica del sistema, la campaña depende en gran medida de TriangleDB para acceder a datos altamente confidenciales. Esto incluye la recuperación de información de varias aplicaciones, archivos de usuario, credenciales de inicio de sesión y otros datos críticos almacenados en el dispositivo.

La combinación del exploit inicial, la posterior descarga de componentes del servidor C&C y la implementación del software espía TriangleDB demuestran la naturaleza compleja y multifacética de la operación de ataque Triangulación.

Las capacidades amenazantes descubiertas en el malware móvil de triangulación

Una parte significativa de la operación de Triangulación se dedica a eliminar cualquier rastro de su presencia y erradicar la evidencia de la infección inicial. Esto incluye la eliminación de los mensajes maliciosos que inician la cadena de ataque. Al borrar estos elementos, Triangulación tiene como objetivo complicar el proceso de detección y análisis, lo que dificulta descubrir sus actividades. Sin embargo, es importante señalar que, a pesar de sus esfuerzos, la Triangulación no puede eliminar por completo todos los signos de compromiso. Ciertos restos de una infección de triangulación aún se pueden recuperar utilizando herramientas forenses digitales.

Un aspecto notable de la Triangulación es su falta de mecanismos de persistencia. Cuando se reinicia el dispositivo infectado, el malware se elimina efectivamente del sistema. El único método empleado por Triangulación para evitar la eliminación prematura es obstruyendo las actualizaciones de iOS. En algunos casos, cuando se intenta actualizar el iOS, aparece un mensaje de error que indica que 'Falló la actualización del software. Ocurrió un error al descargar iOS.'

Sin embargo, es fundamental comprender que, si bien un simple reinicio puede eliminar la triangulación, no evita la posibilidad de una infección posterior por parte de la amenaza. Debido a la explotación de un exploit de clic cero, el malware podría colarse fácilmente en el dispositivo de la víctima nuevamente. Por lo tanto, después de reiniciar un iPhone, es necesario realizar un restablecimiento de fábrica del dispositivo. Después del reinicio, es imperativo actualizar rápidamente el iOS para garantizar que el dispositivo esté protegido contra la triangulación y sus amenazas asociadas.