今年6月,卡巴斯基发布了一种工具,以检测苹果iPhone和其他iOS设备是否感染了一种名为“三角测量”(Operation Triangulation)的恶意软件。报告称至少自2019年以来,该恶意软件已经在全球范围内感染了多台iOS设备。最近,卡巴斯基对这款恶意软件又有了些新发现。
卡巴斯基研究人员在10月23日发布的最新技术报告显示,该恶意软件至少四个不同的模块,用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及分析受害者位置。在部署之前有两个验证器阶段,即 JavaScript 验证器和二进制验证器,执行这些阶段是为了确定目标设备是否与研究环境无关,从而确保所利用的零日漏洞和植入物不会被销毁。
据介绍,攻击链的起点是受害者收到一个不可见的 iMessage 附件,并触发一个零点击漏洞利用链,该漏洞链旨在秘密打开一个唯一的 URL,其中包含 NaCl 加密库的模糊 JavaScript代码以及加密的有效负载。
有效负载是 JavaScript 验证器,除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外,还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。
此步骤之后收集的信息将传输到远程服务器,以便接收下一阶段恶意软件。在一系列未确定的步骤之后还交付了名为Mach-O 的二进制验证器,该文件能够执行以下操作:
- 从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志,以清除可能被利用的痕迹
- 删除从 36 个不同攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件证据
- 获取设备和网络接口上运行的进程列表
- 检查目标设备是否越狱
- 开启个性化广告跟踪
- 收集有关设备的信息(用户名、电话号码、IMEI 和 Apple ID)
- 检索已安装应用程序的列表
研究人员表示,这些操作的有趣之处在于,验证器能同时针对 iOS 和 macOS,其结果会被加密并渗透到命令和控制 (C2) 服务器以获取恶意软件植入。
该恶意软件还会定期从 /private/var/tmp 目录中提取文件,其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。麦克风录制模块的一个显著特点是当设备屏幕打开时能够暂停录制,表明攻击者有意掩人耳目。
此外,位置监控模块经过精心策划,可使用 GSM 数据,如移动国家代码 (MCC)、移动网络代码 (MNC) 和位置区域代码 (LAC),实现在 GPS 数据不可用时测量受害者的位置。
研究人员称,三角测量恶意软件幕后人员对 iOS 内部结构进行了深入了解,在攻击过程中使用了未记录的私有 API,尽力避免了自己被发现的可能。