Chi tiết phần mềm gián điệp mới trên iPhone

Sau cuộc điều tra kéo dài 6 tháng, các nhà nghiên cứu tại Kaspersky đã công bố bản phân tích chuyên sâu về hoạt động lây nhiễm bằng phần mềm gián điệp liên quan đến iMessage.

Phần mềm này có tên là TriangleDB, được triển khai bằng cách khai thác lỗ hổng để giành quyền root trên thiết bị iOS. Sau khi khởi chạy, nó chỉ hoạt động trong bộ nhớ. Do đó, dấu vết lây nhiễm sẽ biến mất khi thiết bị khởi động lại.

Vì vậy, nếu nạn nhân khởi động lại thiết bị, kẻ tấn công cần phải tái lây nhiễm thiết bị bằng cách gửi iMessage khác có tệp đính kèm độc hại và bắt đầu lại toàn bộ quá trình khai thác.

Nếu thiết bị không khởi động lại, phần mềm sẽ tự động gỡ cài đặt sau 30 ngày, trừ khi những kẻ tấn công kéo dài thời gian này. Hoạt động như phần mềm gián điệp phức tạp, TriangleDB thực hiện việc thu thập và giám sát dữ liệu.

Phần mềm bao gồm 24 lệnh với các chức năng phục vụ nhiều mục đích khác nhau. Ví dụ: tương tác với hệ thống tệp của thiết bị (bao gồm tạo tệp, sửa đổi, trích xuất và xóa), quản lý các quy trình (liệt kê và chấm dứt), trích xuất các chuỗi để thu thập thông tin đăng nhập của nạn nhân và giám sát vị trí địa lý của nạn nhân. 

Trong khi phân tích TriangleDB, các chuyên gia của bảo mật đã phát hiện lớp CRConfig chứa phương thức popatedWithFieldsMacOSOnly. Vì vậy, sự hiện diện của nó cho thấy khả năng tin tặc nhắm mục tiêu đến thiết bị macOS.

"Khi đào sâu vào cuộc tấn công, chúng tôi đã phát hiện ra phần mềm lây nhiễm iOS tinh vi này có nhiều điểm kỳ lạ. Chúng tôi tiếp tục phân tích chiến dịch và sẽ cập nhật cho mọi người những thông tin sâu hơn về cuộc tấn công tinh vi này.

Chúng tôi kêu gọi cộng đồng an ninh mạng cùng chung tay chia sẻ kiến thức và cộng tác để có được bức tranh rõ ràng hơn về các mối đe dọa ngoài kia", Chuyên gia bảo mật tại Nhóm Phân tích và Nghiên cứu Toàn cầu tại Kaspersky, ông Georgy Kucherin cho biết. 

Hiện Apple đã tung ra bản cập nhật để vá lỗ hổng nhằm tránh TriangleDB khai thác dữ liệu người dùng.