Comment supprimer le maliciel de type logiciel espion de votre iPhone ?
Écrit par Tomas Meskauskas le
Quel type de maliciel est TriangleDB ?
TriangleDB est un logiciel espion. Il est conçu pour extraire/enregistrer et exfiltrer des données vulnérables à partir d'appareils iPhone infectés.
On a observé que TriangleDB était injecté dans les appareils par une porte dérobée de Triangulation. Cette campagne de maliciels est sophistiquée ; l'infection est déclenchée sans interaction de l'utilisateur (c.-à-d. exploit "zéro clic"), et les traces de compromission sont supprimées. Triangulation et, par extension, TriangleDB existent depuis 2019 et sont toujours actifs en 2023.
Vue générale du maliciel TriangleDB
TriangleDB s'infiltre dans les systèmes par le maliciel Triangulation. Cette porte dérobée infecte les appareils par le biais d'un exploit malveillant joint à un message iMessage. Il s'agit d'un exploit "zéro-clic" qui ne nécessite aucune action de la part de l'utilisateur pour lancer le processus d'infection. La triangulation introduit plusieurs composants malveillants dans les appareils compromis, notamment TriangleDB.
Comme nous l'avons mentionné dans l'introduction, le maliciel backdoor prend grand soin d'éliminer les traces de l'infection. C'est pourquoi l'analyse de la chaîne d'infection et de ses composants est très compliquée.
Après l'infiltration, TriangleDB commence ses opérations en recueillant des données pertinentes, par exemple l'IMEI, le MEID, le numéro de série, la version iOS, etc. Le logiciel espion peut recevoir des commandes de son serveur C&C (Commande et Contrôle). Certaines d'entre elles comprennent (mais ne sont pas limitées à) : la gestion des fichiers (c'est-à-dire modifier, créer, supprimer, exfiltrer), l'obtention des listes d'applications installées, l'arrêt des processus en cours, la surveillance des données de géolocalisation, le téléchargement/l'installation et l'exécution de modules supplémentaires.
Pour développer quelques-unes de ces commandes, TriangleDB peut inspecter un fichier avant de déterminer si son exfiltration en vaut la peine. En outre, les iPhones ont la capacité d'enregistrer une variété d'informations associées à la localisation et aux mouvements de l'utilisateur. TriangleDB en tire pleinement parti et obtient ainsi les coordonnées de la victime, son altitude, son orientation (c'est-à-dire la direction dans laquelle l'appareil se déplace physiquement), sa vitesse de déplacement, etc.
En outre, TriangleDB cible le Keychain de l'appareil, le système de gestion des mots de passe utilisé par iOS. Le logiciel espion demande diverses autorisations, notamment pour accéder au carnet d'adresses, à l'appareil photo et au microphone du téléphone. Il demande également à pouvoir interagir avec les appareils connectés via Bluetooth. Si TriangleDB obtient ces autorisations, il peut alors télécharger des modules supplémentaires pour les fonctionnalités d'enregistrement et d'exfiltration nécessaires.
Ni Triangulation ni TriangleDB n'utilisent de techniques de garantie de la persistance. Il suffit donc de redémarrer le téléphone pour les supprimer. Si l'appareil n'est pas redémarré, TriangleDB s'efface de lui-même au bout de trente jours, à moins que les attaquants ne prolongent cette période.
Cependant, en raison de la nature des infections de Triangulation, le maliciel peut se réinstaller facilement sur l'iPhone. Par conséquent, après un redémarrage du système, l'appareil doit être réinitialisé aux paramètres d'usine et l'iOS doit être immédiatement mis à jour.
Il est pertinent de mentionner que les développeurs de maliciels améliorent souvent leurs créations ; étant donné que le logiciel espion TriangleDB est toujours en cours d'utilisation au moment de la rédaction de ce document, les itérations futures potentielles de ce programme pourraient avoir des capacités supplémentaires/différentes.
En résumé, les maliciels comme TriangleDB peuvent causer de graves problèmes de confidentialité, d'importantes pertes financières et même conduire à un vol d'identité.
Nom | Maliciel TriangleDB |
Type de Menace | Cheval de Troie, Logiciel espion |
Symptômes | Les chevaux de Troie sont conçus pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
Méthodes de Distribution | Exploit envoyé par iMessage |
Dommages | Mots de passe et informations bancaires volés, usurpation d'identité, ajout de l'ordinateur de la victime à un réseau botnet. |
Les maliciels voleurs d'informations en général
Les maliciels voleurs de données peuvent cibler certains détails ou un large éventail d'informations. Pour aller plus loin, un programme malveillant appartenant à cette classification peut être conçu pour exfiltrer des données spécifiques, des informations associées à un service, une plate-forme ou un site web particulier, ou encore toute une série de données provenant de toutes sortes de sources.
En outre, les maliciels qui exfiltrent des informations peuvent avoir d'autres capacités, telles que l'enregistrement de contenu (par exemple, frappes au clavier, bureaux, audio/vidéo via des microphones/caméras, etc.
Il convient de souligner que, quel que soit le mode de fonctionnement des maliciels, leur présence sur un système menace la sécurité de l'appareil et de l'utilisateur. Par conséquent, toutes les menaces doivent être supprimées dès qu'elles sont détectées.
Comment TriangleDB s'est-il infiltré dans mon ordinateur ?
TriangleDB est installé sur les appareils par le maliciel de porte dérobée Triangulation. Ce dernier s'infiltre dans les systèmes par le biais d'une pièce jointe malveillante dans un message envoyé à l'application iMessage de la victime. L'infection est déclenchée sans aucune action de la part de la victime, car la pièce jointe (exploit) déclenche automatiquement la chaîne dès son arrivée.
Le processus de sélection des victimes et des appareils est actuellement inconnu. Il pourrait être aléatoire, utiliser des informations de contact acquises par hameçonnage/ingénierie sociale, ou être entièrement ciblé.
Jusqu'à ce que l'exploit devienne obsolète, il est peu probable que la chaîne d'infection de TriangleDB change. Il convient toutefois de mentionner les techniques les plus utilisées dans la distribution des maliciels.
Les logiciels malveillants (généralement sous l'apparence d'applications ou de fichiers multimédias légitimes) prolifèrent via des pièces jointes/liens virulents dans les courriers indésirables (par exemple, les courriels, les MP/DM, les SMS, etc.), les escroqueries en ligne, la publicité malveillante, les téléchargements "drive-by" (furtifs/trompeurs), les canaux de téléchargement douteux (par exemple, les sites d'hébergement de logiciels et de fichiers gratuits, les magasins d'applications tierces, les réseaux de partage P2P, etc.), les outils illégaux d'activation de logiciels ("cracking"), et les fausses mises à jour.
Comment éviter l'installation de maliciels ?
Il est essentiel d'être vigilant lors de la navigation, car les contenus en ligne frauduleux et malveillants semblent généralement ordinaires et inoffensifs. Cette vigilance doit être étendue aux courriels et autres messages entrants. Il est déconseillé d'ouvrir les pièces jointes ou les liens présents dans les courriers suspects/irréprochables, car ils peuvent être infectieux.
Nous recommandons d'effectuer des recherches sur les logiciels en lisant les conditions et les commentaires des experts/utilisateurs, en vérifiant les autorisations nécessaires et en s'assurant de la légitimité du développeur. En outre, tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées. Il est également recommandé d'activer et de mettre à jour les programmes en utilisant des fonctions/outils légitimes, car ceux obtenus auprès de tiers peuvent contenir des maliciels.
Il convient de souligner l'importance de l'installation et de la mise à jour d'un antivirus fiable. Les logiciels de sécurité doivent être utilisés pour effectuer des analyses régulières du système et pour supprimer les menaces/problèmes détectés.
Important !
Le redémarrage de l'appareil supprimera le logiciel espion TriangleDB, mais n'empêchera pas sa réinstallation.
Pour supprimer le maliciel TriangleDB vous devez :
- Redémarrer l'appareil
- Rétablir les paramètres d'usine de l'appareil
- Mettre à jour l'iOS vers la dernière version
Foire Aux Questions (FAQ)
Mon iPhone est infecté par le maliciel TriangleDB, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Oui, la suppression de TriangleDB nécessite une réinitialisation complète des paramètres d'usine. Cette opération doit être suivie d'une mise à jour immédiate de l'iOS.
Quels sont les plus gros problèmes que le maliciel TriangleDB peut causer ?
Les menaces posées par une infection dépendent des capacités du maliciel et du mode opératoire des attaquants. TriangleDB est un maliciel espion - un type de maliciel conçu pour enregistrer et exfiltrer des informations sensibles. En règle générale, les infections de ce type peuvent entraîner de graves problèmes de confidentialité, des pertes financières et des vols d'identité.
Quel est l'objectif du maliciel TriangleDB ?
La plupart des attaques de maliciels sont motivées par le gain financier. Toutefois, les cybercriminels peuvent également utiliser des programmes malveillants pour s'amuser, se livrer à des vengeances personnelles, perturber des processus (sites, services, entreprises, etc.), voire lancer des attaques à caractère politique ou géopolitique.
Comment le maliciel TriangleDB s'est-il infiltré dans mon iPhone ?
TriangleDB fait partie d'une chaîne d'infection initiée par la porte dérobée de Triangulation. Ce maliciel s'infiltre dans les systèmes par le biais d'une pièce jointe malveillante (exploit) au sein d'un message envoyé via iMessage. Il s'agit d'un exploit "zéro-clic" qui ne nécessite aucune interaction de la part de l'utilisateur pour déclencher les processus d'infection. On ne sait pas encore comment les victimes/appareils sont sélectionnés.
▼ Montrer la discussion