Kaspersky ha segnalato una nuova campagna di Advanced Persistent Threat (APT) mobile che prende di mira specialmente i dispositivi iOS tramite iMessage. Dopo sei mesi di indagini, i ricercatori dell’azienda hanno pubblicato un’analisi approfondita sul suo funzionamento e hanno scoperto i dettagli dell’operazione dello spyware.

Il sistema, denominato TriangleDB, viene distribuito sfruttando una vulnerabilità a livello del kernel per acquisire i privilegi di amministratore (root) sul dispositivo iOS preso di mira. Una volta installato, TriangleDB opera esclusivamente nella memoria del dispositivo, per cui le tracce dell’infezione scompaiono al riavvio del device.

Di conseguenza, se la vittima riavvia il dispositivo, l’attaccante deve reinfettarlo inviando un altro iMessage con un allegato dannoso, avviando nuovamente l’intero processo di sfruttamento. In mancanza di riavvio, l’impianto si disinstalla automaticamente dopo 30 giorni, a meno che gli attaccanti non prolunghino questo periodo. Operando come spyware complesso, TriangleDB esegue un’ampia gamma di funzionalità di raccolta e monitoraggio dei dati.

Il sistema comprende 24 comandi con diverse funzionalità e diversi scopi, tra cui interagire con il filesystem del dispositivo (compresa la creazione, la modifica, l’esfiltrazione e la rimozione dei file), gestire i processi (listing e termination), estrarre elementi dalla keychain per raccogliere le credenziali della vittima e monitorarne la geolocalizzazione.

kaspersky spyware

Nell’analisi di TriangleDB, gli esperti di Kaspersky hanno scoperto che la classe CRConfig contiene un codice inutilizzato chiamato populateWithFieldsMacOSOnly. Sebbene non sia utilizzato nell’impianto iOS, la sua presenza suggerisce la possibilità di colpire i dispositivi macOS con un impianto simile.

I ricercatori di Kaspersky hanno rilasciato una speciale utility “triangle_check” che cerca automaticamente l’infezione da malware.

Per proteggersi da simili attacchi mirati da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:

  • Utilizzare una soluzione di sicurezza affidabile per le aziende per il rilevamento, l’indagine e la risoluzione tempestiva degli incidenti a livello di endpoint
  • Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI)
  • Tenere sempre aggiornato il team di cybersecurity in modo che sappia affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT
  • Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante introdurre in azienda la formazione sulla security awareness e insegnare le policy da applicare ai team