TriangleDB spyware elemzése
A Kaspersky tovább elemezte a TriangleDB-t, egy iPhone kémprogramot, amely évekig diszkréten működött, még a Kaspersky környezetében is. Az észrevehetetlen iMessage üzenetekkel a célszemélyhez eljuttatott kártékony kódok kémkedett a felhasználók után. Az Apple azóta javította a kihasznált sebezhetőségeket, de a kártevő technikai tudása újabb biztonsági aggályokat vetett fel a Kaspersky csapatában.
A TriangleDB egy zero click támadást használt ki, és rosszindulatú iMessage üzenettel hatolt be az iPhone-okba.
Az észrevétel elkerülése érdekében átfogó érvényesítési folyamatokat alkalmazott mind a telepítés kezdetén, mind a telepítés során. Ez lehetővé tette, hogy a radar alatt maradjon, megakadályozva, hogy a biztonsági kutatók észleljék a kémprogramokat. Még a saját napló- és adatbázisfájljait is törölte, köztük azokat is, amelyek a káros iMessages küldéséhez használt Apple ID-ket tárolták.
A kémprogramok bejutása után nem csak tétlenül ültek. Adatokat gyűjtött be az iPhone Keychain és SQLite adatbázisaiból, amelyeket különböző alkalmazások használnak. GSM-et és GPS-t is használt a készülék helyzetének követésére.
A TriangleDB spyware emellett képes lehallgatni az iPhone mikrofonját. A TriangleDB hangfelvétele az „msu3h” nevű speciális modulon keresztül működik, amely valószínűleg három órás alapértelmezett rögzítési időt jelent.
A Kaspersky rámutat, hogy a TriangleDB spyware-készítői eléggé jártasak az iOS-sel kapcsolatban, amint azt rejtett vagy nem nyilvános API-k használata is mutatja. Még néhány modult is építettek, hogy működjenek a régebbi iOS-verziókkal, különösen a 8.0 előttiekkel. Ezek a verziók 2015 előtt gyakoriak voltak, ami arra utal, hogy ez a spyware kód nem teljesen új.