Como remover o malware do tipo spyware TriangleDB do seu iPhone
Escrito por Tomas Meskauskas a
Que tipo de malware é o TriangleDB?
O TriangleDB é um programa do tipo spyware. Foi concebido para extrair/registar e exfiltrar dados vulneráveis de dispositivos iPhone infectados.
O TriangleDB foi observado a ser injetado em dispositivos pela backdoor Triangulation. Esta campanha de malware é sofisticada; a infeção é desencadeada sem interação do utilizador (ou seja, exploração de clique zero) e os vestígios de comprometimento são eliminados. O Triangulation e, por extensão, o TriangleDB existem desde o início de 2019 e ainda estão ativos em 2023.
Visão geral do malware TriangleDB
O TriangleDB é infiltrado nos sistemas pelo malware Triangulation. Esta backdoor infecta os dispositivos através de um exploit malicioso anexado a uma mensagem enviada via iMessage. É um exploit de clique zero e, como tal, não requer nenhuma ação do utilizador para iniciar o processo de infeção. O Triangulation introduz vários componentes maliciosos nos dispositivos comprometidos, incluindo o TriangleDB.
Como mencionado na introdução, o malware backdoor tem muito cuidado para eliminar os vestígios da infeção. Devido a este facto, a análise da cadeia de infeção e dos seus componentes é significativamente complicada.
Após a infiltração, o TriangleDB inicia as suas operações recolhendo dados relevantes, por exemplo, IMEI, MEID, número de série, versão do iOS, etc. O spyware pode receber comandos do seu servidor C&C (Comando e Controlo). Alguns deles incluem (mas não estão limitados a): gerir ficheiros (ou seja, modificar, criar, eliminar, exfiltrar), obter listas de aplicações instaladas, terminar processos em execução, monitorizar dados de geolocalização, descarregar/instalar e executar módulos adicionais.
Para desenvolver alguns destes comandos, a TriangleDB pode inspecionar um ficheiro antes de determinar se a sua exfiltração vale a pena. Além disso, os iPhones têm a capacidade de registar uma variedade de informações associadas à localização e aos movimentos do utilizador. O TriangleDB tira o máximo partido disso, obtendo assim as coordenadas da vítima, a altitude, o rumo (ou seja, a direção em que o dispositivo se está a mover fisicamente), a velocidade de movimento, etc.
Além disso, o TriangleDB tem como alvo o Keychain do dispositivo - o sistema de gestão de palavras-passe utilizado pelo iOS. O spyware pede várias permissões, por exemplo, para aceder aos livros de endereços, à câmara e ao microfone do telefone. Também pede autorização para interagir com dispositivos ligados por Bluetooth. Se o TriangleDB obtiver estas permissões, pode então descarregar módulos adicionais para as funcionalidades de gravação/exfiltração necessárias.
Nem o Triangulation nem o TriangleDB empregam técnicas de garantia de persistência. Por isso, basta reiniciar o telemóvel para os remover. Se o dispositivo não for reiniciado, o TriangleDB apaga-se automaticamente após trinta dias, a menos que os atacantes prolonguem o período de tempo.
No entanto, devido à natureza das infecções do Triangulation, o malware pode reinstalar-se no iPhone com facilidade. Por conseguinte, após um reinício do sistema, o dispositivo deve ser reposto para as definições de fábrica e o iOS deve ser imediatamente atualizado.
É pertinente mencionar que os criadores de malware melhoram frequentemente as suas criações; uma vez que o spyware TriangleDB ainda está a ser utilizado no momento da redacção deste artigo, potenciais iterações futuras deste programa poderão ter capacidades adicionais/diferentes.
Em suma, malware como o TriangleDB pode causar graves problemas de privacidade, perdas financeiras significativas e até mesmo levar ao roubo de identidade.
Nome | malware TriangleDB |
Tipo de ameaça | Trojan, spyware |
Sintomas | Os trojans são projetados para infiltrar-se furtivamente no computador da vítima e permanecer silenciosos, e, portanto, nenhum sintoma específico é claramente visível na máquina infectada. |
Métodos de distribuição | Exploração enviada através do iMessage |
Danos | As palavras-passe e informações bancárias roubadas, roubo de identidade, computador da vítima adicionado a um botnet. |
Malware para roubo de informações em geral
O malware para roubo de dados pode visar determinados detalhes ou uma vasta gama de informações. Para desenvolver esta ideia, um programa malicioso dentro desta classificação pode ser concebido para exfiltrar dados específicos, informações associadas a um determinado serviço/plataforma/site, ou uma variedade de dados de todo o tipo de fontes.
Além disso, o malware de infiltração de informação pode ter outras capacidades, como a gravação de conteúdos (por exemplo, teclas premidas, ambientes de trabalho, áudio/vídeo através de microfones/câmaras, etc.), a substituição de conteúdos da área de transferência, etc.
É de salientar que, independentemente da forma como o malware funciona, a sua presença num sistema ameaça a segurança do dispositivo/utilizador. Por conseguinte, todas as ameaças devem ser removidas imediatamente após a sua deteção.
Como é que o TriangleDB se infiltrou no meu computador?
O TriangleDB é instalado nos dispositivos pelo malware backdoor Triangulation. Este último infiltra-se nos sistemas através de um anexo malicioso numa mensagem enviada para a aplicação iMessage da vítima. A infeção é iniciada sem qualquer ação por parte da vítima, uma vez que o anexo (exploit) desencadeia a cadeia automaticamente após a sua chegada.
O processo de seleção da vítima/dispositivo é atualmente desconhecido. Parte dele pode ser aleatório, utilizar informações de contacto adquiridas através de fraudes de phishing/engenharia social ou ser totalmente direcionado.
Até que o exploit se torne obsoleto, é pouco provável que a cadeia de infeção do TriangleDB se altere. No entanto, vale a pena mencionar as técnicas mais utilizadas na distribuição de malware.
O software malicioso (normalmente sob o disfarce de aplicações legítimas ou ficheiros multimédia) é proliferado através de anexos/hiperligações virulentos em emails não solicitados (por exemplo, emails, PMs/DMs, SMSs, etc.), fraudes online, malvertising, descarregamentos drive-by (furtivos/deceptivos), canais de descarregamento questionáveis (por exemplo, sites de alojamento de ficheiros freeware e gratuitos, lojas de aplicações de terceiros, redes de partilha P2P, etc.), ferramentas ilegais de ativação de software ("cracking") e actualizações falsas.
Como evitar a instalação de malware?
É fundamental estar atento durante a navegação, uma vez que os conteúdos fraudulentos e maliciosos online parecem normalmente normais e inócuos. A vigilância deve ser alargada aos emails e outras mensagens recebidas. Aconselhamos a não abrir anexos ou ligações presentes em emails suspeitos/irrelevantes, uma vez que podem ser infecciosos.
Recomendamos a pesquisa de software através da leitura dos termos e das análises de especialistas/utilizadores, da inspeção das permissões necessárias e da verificação da legitimidade do programador. Além disso, todas as transferências devem ser efectuadas a partir de fontes oficiais e verificadas. Outra recomendação é ativar e atualizar programas utilizando funções/ferramentas legítimas, uma vez que as obtidas de terceiros podem conter malware.
Devemos salientar a importância de ter um antivírus fidedigno instalado e atualizado. O software de segurança deve ser utilizado para efetuar análises regulares ao sistema e para remover as ameaças/problemas detectados.
Importante!
Embora reiniciar o dispositivo remova o spyware TriangleDB, não impedirá a reinstalação.
Para remover o malware TriangleDB deve:
- Reiniciar o dispositivo
- Restaurar o dispositivo para as definições de fábrica
- Atualizar o iOS para a versão mais recente
Perguntas Frequentes (FAQ)
O meu iPhone está infetado com o malware TriangleDB, devo formatar o meu dispositivo de armazenamento para o eliminar?
Sim, a remoção da TriangleDB requer uma reposição total de fábrica. Deve ser seguida de uma atualização imediata do iOS.
Quais são os principais problemas que o malware TriangleDB pode causar?
As ameaças colocadas por uma infeção dependem das capacidades do malware e do modus operandi dos invasores. O TriangleDB é um spyware - um tipo de malware concebido para registar e exfiltrar informações sensíveis. Normalmente, as infecções deste tipo podem levar a graves problemas de privacidade, perdas financeiras e roubo de identidade.
Qual é o objetivo do malware TriangleDB?
A maioria dos ataques de malware é motivada por ganhos financeiros. No entanto, os criminosos cibernéticos também podem utilizar programas maliciosos para se divertirem, levarem a cabo vinganças pessoais, perturbarem processos (por exemplo, sites, serviços, empresas, etc.) e até lançarem ataques com motivações políticas/geopolíticas.
Como é que o malware TriangleDB se infiltrou no meu iPhone?
O TriangleDB faz parte de uma cadeia de infeção iniciada pelo backdoor Triangulation. Este malware infiltra-se nos sistemas através de um anexo malicioso (exploit) dentro de uma mensagem enviada via iMessage. É um exploit de clique zero e, como tal, não requer qualquer interação do utilizador para desencadear processos de infeção. Atualmente não se sabe como são seleccionadas as vítimas/dispositivos.
▼ Mostrar comentários