今年6月，卡巴斯基發(fā)布了一種工具，以檢測蘋果iPhone和其他iOS設備是否感染了一種名為“三角測量”（Operation Triangulation）的惡意軟件。報告稱至少自2019年以來，該惡意軟件已經(jīng)在全球范圍內(nèi)感染了多臺iOS設備。最近，卡巴斯基對這款惡意軟件又有了些新發(fā)現(xiàn)。

卡巴斯基研究人員在10月23日發(fā)布的最新技術報告顯示，該惡意軟件至少四個不同的模塊，用于記錄麥克風、提取 iCloud 鑰匙串、從各種應用程序使用的 SQLite 數(shù)據(jù)庫中竊取數(shù)據(jù)以及分析受害者位置。在部署之前有兩個驗證器階段，即 JavaScript 驗證器和二進制驗證器，執(zhí)行這些階段是為了確定目標設備是否與研究環(huán)境無關，從而確保所利用的零日漏洞和植入物不會被銷毀。

據(jù)介紹，攻擊鏈的起點是受害者收到一個不可見的 iMessage 附件，并觸發(fā)一個零點擊漏洞利用鏈，該漏洞鏈旨在秘密打開一個唯一的 URL，其中包含 NaCl 加密庫的模糊 JavaScript代碼以及加密的有效負載。

有效負載是 JavaScript 驗證器，除了執(zhí)行各種算術運算并檢查 Media Source API 和 WebAssembly 是否存在之外，還通過使用WebGL 在粉紅色背景上繪制黃色三角形并計算其校驗和來執(zhí)行稱為畫布指紋識別的瀏覽器指紋識別技術。

此步驟之后收集的信息將傳輸?shù)竭h程服務器，以便接收下一階段惡意軟件。在一系列未確定的步驟之后還交付了名為Mach-O 的二進制驗證器，該文件能夠執(zhí)行以下操作：

• 從 /private/var/mobile/Library/Logs/CrashReporter 目錄中刪除崩潰日志，以清除可能被利用的痕跡
• 刪除從 36 個不同攻擊者控制的 Gmail、Outlook 和 Yahoo 電子郵件地址發(fā)送的惡意 iMessage 附件證據(jù)
• 獲取設備和網(wǎng)絡接口上運行的進程列表
• 檢查目標設備是否越獄
• 開啟個性化廣告跟蹤
• 收集有關設備的信息（用戶名、電話號碼、IMEI 和 Apple ID）
• 檢索已安裝應用程序的列表

研究人員表示，這些操作的有趣之處在于，驗證器能同時針對 iOS 和 macOS，其結果會被加密并滲透到命令和控制 (C2) 服務器以獲取惡意軟件植入。

該惡意軟件還會定期從 /private/var/tmp 目錄中提取文件，其中包含位置、iCloud 鑰匙串、SQL 相關數(shù)據(jù)和麥克風錄制數(shù)據(jù)。麥克風錄制模塊的一個顯著特點是當設備屏幕打開時能夠暫停錄制，表明攻擊者有意掩人耳目。

此外，位置監(jiān)控模塊經(jīng)過精心策劃，可使用 GSM 數(shù)據(jù)，如移動國家代碼 (MCC)、移動網(wǎng)絡代碼 (MNC) 和位置區(qū)域代碼 (LAC)，實現(xiàn)在 GPS 數(shù)據(jù)不可用時測量受害者的位置。

研究人員稱，三角測量惡意軟件幕后人員對 iOS 內(nèi)部結構進行了深入了解，在攻擊過程中使用了未記錄的私有 API，盡力避免了自己被發(fā)現(xiàn)的可能。