Эксперты «Лаборатории Касперского» провели структурный анализ spyware и его компонентов в импланте TriangleDB для заражения «Операцией Триангуляция» на iOS.
Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.
Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.
Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развёртывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.
Развёртыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.
Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку — валидатор JavaScript.
Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая жёлтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.
