TriangleDB opera únicamente en la memoria del dispositivo.
Expertos de Kaspersky han revelado información acerca del spyware utilizado en la campaña de ataques conocidos como Operación Triangulación, la cual ha estado dirigida específicamente a dispositivos iOS. Este implante de spyware, llamado TriangleDB, permite a los atacantes llevar a cabo una vigilancia encubierta de manera efectiva. Una característica destacada de este software es que opera únicamente en la memoria del dispositivo, asegurando que cualquier evidencia del implante se borre por completo al reiniciar el dispositivo.
Recientemente, Kaspersky informó sobre una nueva campaña de amenazas persistentes avanzadas (APT, por sus siglas en inglés) dirigida a dispositivos iOS a través de iMessage. Tras seis meses de investigación, los expertos de la compañía han publicado un análisis detallado de la cadena de explotación utilizada en estos ataques y han descubierto información relevante sobre la instalación del spyware. El implante, denominado TriangleDB, aprovecha una vulnerabilidad del kernel para adquirir privilegios de root en el dispositivo iOS objetivo.
Una vez instalado, TriangleDB opera únicamente en la memoria del dispositivo, lo que significa que no deja rastros de la infección al reiniciar el dispositivo. En consecuencia, si la víctima reinicia su dispositivo, el atacante debe volver a infectarlo enviando otro iMessage que contenga un archivo malicioso, reiniciando así todo el proceso de explotación. Sin embargo, si el dispositivo no se reinicia, el implante se desinstalará automáticamente después de 30 días, a menos que los atacantes extiendan este período. Como complejo de spyware, TriangleDB realiza diversas funciones de monitoreo y recopilación de datos.
En total, el implante cuenta con 24 órdenes que ofrecen una amplia variedad de capacidades. Estas órdenes incluyen interactuar con el sistema de archivos del dispositivo (creación, modificación, exfiltración y eliminación de archivos), administrar procesos (listado y terminación), extraer elementos del llavero para obtener credenciales de la víctima y monitorear la geolocalización de la misma, entre otras funcionalidades.
Mientras analizaban TriangleDB, los expertos de Kaspersky descubrieron que la clase CRConfig contiene un método no utilizado llamado "populateWithFieldsMacOSOnly". Aunque no se utilice en el implante de iOS, su presencia sugiere la posibilidad de que los dispositivos macOS también sean objetivos de un implante similar en el futuro.
Georgy Kucherin, experto en seguridad del Equipo de investigación y análisis global de Kaspersky (GReAT), comentó: "A medida que profundizamos en el ataque, descubrimos un complejo implante de iOS que mostró numerosas rarezas intrigantes. Continuamos analizando la campaña y man tendremos a todos actualizados con más información sobre este complejo ataque. Hacemos un llamado a la comunidad de ciberseguridad para que se una, comparta conocimientos y colabore para obtener una imagen más clara de las amenazas que existen".
