I ricercatori di sicurezza informatica di Kaspersky hanno rivelato maggiori dettagli su TriangleDB, un malware che prendedi mira una vulnerabilità zero-day recentemente scoperta su iOS.
In un resoconto tecnico dettagliato, l’azienda che si occupa di sicurezza informatica ha affermato che il malware contiene diversi moduli che gli consentono di agire in diversi modi sul telefono. A tal proposito si parla di:
- registrazione dei suoni attraverso il microfono integrato;
- furto portachiavi iCloud;
- furto dei database SQLite;
- individuazione della posizione del dispositivo tramite GSM.
Di fatto, un pericolo enorme per chiunque possieda un iPhone. Chiunque abbia creato il malware ha fatto di tutto per assicurarsi che lo stesso non venisse individuato.
Il modulo del microfono, ad esempio, smette di funzionare quando la vittima accende lo schermo o quando la batteria scende al di sotto del 10%. Il malware esegue inoltre alcuni controlli prima di avviarsi, il tutto per assicurarsi che non sia installato in un ambiente di ricerca.
TriangleDB sfrutta due vulnerabilità zero-day su iOS, dimostrandosi ancora più temibile del previsto
Per quanto riguarda l’identità dei cybercriminali dietro a TriangleDB, finora è tutto avvolto da un fitto mistero. Al momento, Kaspersky si limita a definire il malware in modo generico, ovvero come una “Minaccia persistente avanzata (APT) completa di tutte le funzionalità“. Le APT sono spesso associate ad autori di minacce di livello statale o comunque sponsorizzate da determinati governi.
Per distribuire il malware, gli hacker hanno sfruttato due distinte vulnerabilità zero-day su iOS, conosciute come CVE-2023-32434 e CVE-2023-32435. Inviando un messaggio appositamente predisposto attraverso la piattaforma iMessage, gli aggressori possono ottenere il pieno controllo sia dell’endpoint che dei dati dell’utente, senza bisogno di alcuna interazione da parte della vittima.
Una cosa è sicura: i cybercriminali dietro a TrianleDB non sono sprovveduti. I ricercatori, infatti, hanno confermato come “Gli aggressori hanno anche dimostrato una grande conoscenza della struttura di iOS, poiché durante l’attacco hanno utilizzato API private non documentate“.