Cómo eliminar el software espía TriangleDB de su iPhone
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es TriangleDB?
TriangleDB es un programa de tipo espía. Está diseñado para extraer/registrar y exfiltrar datos vulnerables de dispositivos iPhone infectados.
Se ha observado que TriangleDB se introduce en los dispositivos a través de la puerta trasera Triangulation. Esta campaña de malware es sofisticada; la infección se desencadena sin interacción del usuario (es decir, exploit de clic cero), y se eliminan los rastros de compromiso. Triangulation y, por extensión, TriangleDB han existido desde 2019 y siguen activos en 2023.
Resumen del malware TriangleDB
TriangleDB se infiltra en los sistemas a través del malware Triangulation. Esta puerta trasera infecta dispositivos a través de un exploit malicioso adjunto a un mensaje enviado a través de iMessage. Se trata de un exploit de clic cero y, como tal, no requiere ninguna acción por parte del usuario para iniciar el proceso de infección. Triangulation introduce varios componentes maliciosos en los dispositivos comprometidos, incluido TriangleDB.
Como se mencionó en la introducción, el malware backdoor tiene mucho cuidado para eliminar los rastros de la infección. Debido a esto, el análisis de la cadena de infección y sus componentes es significativamente complicado.
Tras la infiltración, TriangleDB comienza sus operaciones recopilando datos relevantes, por ejemplo, IMEI, MEID, número de serie, versión de iOS, etc. El programa espía puede recibir órdenes de su servidor de C&C (Mano y Control). Algunas de ellas son (entre otras): gestionar archivos (es decir, modificar, crear, eliminar, exfiltrar), obtener listas de aplicaciones instaladas, terminar procesos en ejecución, monitorizar datos de geolocalización, descargar/instalar y ejecutar módulos adicionales.
Para profundizar en algunos de estos comandos, TriangleDB puede inspeccionar un archivo antes de determinar si su exfiltración merece la pena. Además, los iPhones tienen la capacidad de registrar diversa información asociada a la ubicación y los movimientos del usuario. TriangleDB lo aprovecha al máximo, obteniendo así las coordenadas de la víctima, la altitud, el rumbo (es decir, la dirección en la que se mueve físicamente el dispositivo), la velocidad de movimiento, etc.
Además, TriangleDB tiene como objetivo el llavero del dispositivo, el sistema de gestión de contraseñas utilizado por iOS. El programa espía solicita varios permisos, por ejemplo, para acceder a las libretas de direcciones, la cámara y el micrófono del teléfono. También pide que se le permita interactuar con dispositivos conectados por Bluetooth. Si TriangleDB obtiene estos permisos, puede descargar módulos adicionales para las funcionalidades de grabación/exfiltración necesarias.
Ni Triangulation ni TriangleDB emplean técnicas que garanticen la persistencia. Por lo tanto, basta con reiniciar el teléfono para eliminarlos. Si no se reinicia el dispositivo, TriangleDB se autoelimina al cabo de treinta días, a menos que los atacantes amplíen el plazo.
Sin embargo, debido a la naturaleza de las infecciones de Triangulation, el malware puede reinstalarse en el iPhone con facilidad. Por lo tanto, tras un reinicio del sistema, el dispositivo debe restablecerse a los valores de fábrica y el iOS debe actualizarse inmediatamente.
Es pertinente mencionar que los desarrolladores de malware a menudo mejoran sus creaciones; dado que el spyware TriangleDB sigue activo en el momento de escribir estas líneas, las posibles iteraciones futuras de este programa podrían tener capacidades adicionales/diferentes.
En resumen, malware como TriangleDB puede causar graves problemas de privacidad, pérdidas financieras significativas e incluso conducir al robo de identidad.
Nombre | Malware TriangleDB |
Tipo de amenaza | Troyano, spyware |
Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no se aprecian síntomas particulares en una máquina infectada. |
Métodos de distribución | Exploit enviado a través de iMessage |
Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet. |
Malware de robo de información en general
El malware de robo de datos puede dirigirse a ciertos detalles o a una amplia gama de información. Para ampliar esta idea, un programa malicioso de esta clasificación podría estar diseñado para filtrar datos específicos, información asociada a un servicio/plataforma/sitio web concreto, o una variedad de datos de todo tipo de fuentes.
Además, el malware de filtración de información puede tener otras capacidades, como grabar contenidos (por ejemplo, pulsaciones de teclas, escritorios, audio/vídeo a través de micrófonos/cámaras, etc.), sustituir el contenido del portapapeles, etc.
Hay que subrayar que, independientemente de cómo opere el malware, su presencia en un sistema amenaza la seguridad del dispositivo/usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró TriangleDB en mi ordenador?
TriangleDB se instala en los dispositivos mediante el malware de puerta trasera Triangulation. Este último se infiltra en los sistemas a través de un archivo adjunto malicioso en un mensaje enviado a la aplicación iMessage de la víctima. La infección se inicia sin ninguna acción por parte de la víctima, ya que el adjunto (exploit) activa la cadena automáticamente a su llegada.
Actualmente se desconoce el proceso de selección de víctimas/dispositivos. Podría ser aleatorio, utilizar información de contacto adquirida a través de esquemas de phishing/ingeniería social, o ser totalmente selectivo.
Hasta que el exploit quede obsoleto, es poco probable que la cadena de infección de TriangleDB cambie. Sin embargo, merece la pena mencionar las técnicas más utilizadas en la distribución de malware.
El software malicioso (normalmente bajo la apariencia de aplicaciones o archivos multimedia legítimos) prolifera a través de virulentos adjuntos/enlaces en el correo basura (p. ej., correos electrónicos, MP/DM, SMS, etc.), estafas en línea, publicidad maliciosa, descargas drive-by (furtivas/engañosas), canales de descarga dudosos (p. ej., sitios de alojamiento de archivos gratuitos y freeware, tiendas de aplicaciones de terceros, redes de intercambio P2P, etc.), herramientas ilegales de activación de software ("cracking") y actualizaciones falsas.
¿Cómo evitar la instalación de programas maliciosos?
Es fundamental estar alerta mientras se navega, ya que los contenidos fraudulentos y maliciosos en línea suelen parecer corrientes e inocuos. La vigilancia debe extenderse a los correos electrónicos entrantes y otros mensajes. Desaconsejamos abrir archivos adjuntos o enlaces presentes en correos sospechosos/irrelevantes, ya que pueden ser infecciosos.
Recomendamos investigar el software leyendo los términos y las reseñas de expertos/usuarios, inspeccionando los permisos necesarios y verificando la legitimidad del desarrollador. Además, todas las descargas deben realizarse desde fuentes oficiales y verificadas. Otra recomendación es activar y actualizar los programas utilizando funciones/herramientas legítimas, ya que las obtenidas de terceros pueden contener malware.
Debemos insistir en la importancia de tener instalado y actualizado un antivirus fiable. El software de seguridad debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas/problemas detectados.
¡Importante!
Aunque reiniciar el dispositivo eliminará el software espía TriangleDB, no evitará la reinstalación.
Para eliminar el malware TriangleDB debe:
- Reiniciar el dispositivo
- Restaurar el dispositivo a los valores de fábrica
- Actualizar iOS a la última versión
Preguntas frecuentes (FAQ)
Mi iPhone está infectado con el malware TriangleDB, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
Sí, la eliminación de TriangleDB requiere un reset completo de fábrica. A continuación, debe realizarse una actualización inmediata de iOS.
¿Cuáles son los mayores problemas que puede causar el malware TriangleDB?
Las amenazas que plantea una infección dependen de las capacidades del malware y del modus operandi de los atacantes. TriangleDB es un spyware, un tipo de malware diseñado para registrar y filtrar información confidencial. Normalmente, las infecciones de este tipo pueden provocar graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el objetivo del malware TriangleDB?
La mayoría de los ataques de malware están motivados por el beneficio económico. Sin embargo, los ciberdelincuentes también pueden utilizar programas maliciosos para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios, servicios, empresas, etc.) e incluso lanzar ataques con motivaciones políticas/geopolíticas.
¿Cómo se infiltró el malware TriangleDB en mi iPhone?
TriangleDB forma parte de una cadena de infección iniciada por el backdoor Triangulation. Este malware se infiltra en los sistemas a través de un archivo adjunto malicioso (exploit) dentro de un mensaje enviado a través de iMessage. Se trata de un exploit de clic cero y, como tal, no requiere la interacción del usuario para desencadenar los procesos de infección. Actualmente se desconoce cómo se seleccionan las víctimas/dispositivos.
▼ Mostrar discusión.