Mới đây, hãng bảo mật Kaspersky đã có báo cáo về chiến dịch APT (Advanced Persistent Threat) di động mới nhắm mục tiêu đến các thiết bị iOS thông qua iMessage. Sau cuộc điều tra kéo dài 6 tháng, các nhà nghiên cứu Kaspersky đã công bố một bản phân tích chuyên sâu về phần mềm gián điệp được sử dụng. Phần mềm này có tên là TriangleDB.
TriangleDB được triển khai bằng cách khai thác lỗ hổng để giành quyền root trên thiết bị iOS. Sau khi được khởi chạy, nó chỉ hoạt động trong bộ nhớ của thiết bị, do đó dấu vết lây nhiễm sẽ biến mất khi thiết bị khởi động lại. Vì vậy, nếu nạn nhân khởi động lại thiết bị, kẻ tấn công cần phải tái lây nhiễm thiết bị bằng cách gửi một iMessage khác có tệp đính kèm độc hại, bắt đầu lại toàn bộ quá trình khai thác.
Nếu thiết bị không khởi động lại, phần mềm sẽ tự động gỡ cài đặt sau 30 ngày, trừ khi những kẻ tấn công kéo dài thời gian này. Hoạt động như một phần mềm gián điệp phức tạp, TriangleDB thực hiện nhiều khả năng thu thập và giám sát dữ liệu.
Phần mềm bao gồm 24 lệnh với các chức năng đa dạng. Các lệnh này phục vụ nhiều mục đích khác nhau, chẳng hạn như tương tác với hệ thống tệp của thiết bị, bao gồm tạo tệp, sửa đổi, trích xuất và xóa, trích xuất các chuỗi để thu thập thông tin đăng nhập của nạn nhân và giám sát vị trí địa lý của nạn nhân,...
Phân tích TriangleDB, các chuyên gia của Kaspersky phát hiện ra rằng, lớp CRConfig chứa một phương thức không được sử dụng có tên popatedWithFieldsMacOSOnly. Mặc dù không được sử dụng trong phần mềm lây nhiễm iOS, nhưng sự hiện diện của nó cho thấy khả năng nhắm mục tiêu đến các thiết bị macOS.
Georgy Kucherin - chuyên gia bảo mật tại Nhóm Phân tích và Nghiên cứu Toàn cầu tại Kaspersky cho biết: “Khi đào sâu vào cuộc tấn công, chúng tôi đã phát hiện ra phần mềm lây nhiễm iOS tinh vi này có nhiều điểm kỳ lạ. Chúng tôi tiếp tục phân tích chiến dịch và sẽ cập nhật cho mọi người những thông tin sâu hơn về cuộc tấn công tinh vi này. Chúng tôi kêu gọi cộng đồng an ninh mạng cùng chung tay chia sẻ kiến thức và cộng tác để có được bức tranh rõ ràng hơn về các mối đe dọa ngoài kia”.
Liên quan tới mã độc này, các nhà nghiên cứu tại Kaspersky đã ra mắt tiện ích đặc biệt “triangle_check” có thể tự động kiểm tra thiết bị có bị lây nhiễm bởi phần mềm độc hại không. Đồng thời, Kaspersky khuyến nghị người dùng thực hiện các biện pháp bảo mật khác để tránh trở thành nạn nhân của tấn công có chủ đích.
Thanh Thanh