今年6月，卡巴斯基發布了一種工具，以檢測蘋果iPhone和其他iOS設備是否感染了一種名為“三角測量”（Operation Triangulation）的惡意軟件。報告稱至少自2019年以來，該惡意軟件已經在全球范圍內感染了多臺iOS設備。最近，卡巴斯基對這款惡意軟件又有了些新發現。

卡巴斯基研究人員在10月23日發布的最新技術報告顯示，該惡意軟件至少四個不同的模塊，用于記錄麥克風、提取 iCloud 鑰匙串、從各種應用程序使用的 SQLite 數據庫中竊取數據以及分析受害者位置。在部署之前有兩個驗證器階段，即 JavaScript 驗證器和二進制驗證器，執行這些階段是為了確定目標設備是否與研究環境無關，從而確保所利用的零日漏洞和植入物不會被銷毀。

據介紹，攻擊鏈的起點是受害者收到一個不可見的 iMessage 附件，并觸發一個零點擊漏洞利用鏈，該漏洞鏈旨在秘密打開一個唯一的 URL，其中包含 NaCl 加密庫的模糊 JavaScript代碼以及加密的有效負載。

有效負載是 JavaScript 驗證器，除了執行各種算術運算并檢查 Media Source API 和 WebAssembly 是否存在之外，還通過使用WebGL 在粉紅色背景上繪制黃色三角形并計算其校驗和來執行稱為畫布指紋識別的瀏覽器指紋識別技術。

此步驟之后收集的信息將傳輸到遠程服務器，以便接收下一階段惡意軟件。在一系列未確定的步驟之后還交付了名為Mach-O 的二進制驗證器，該文件能夠執行以下操作：

• 從 /private/var/mobile/Library/Logs/CrashReporter 目錄中刪除崩潰日志，以清除可能被利用的痕跡
• 刪除從 36 個不同攻擊者控制的 Gmail、Outlook 和 Yahoo 電子郵件地址發送的惡意 iMessage 附件證據
• 獲取設備和網絡接口上運行的進程列表
• 檢查目標設備是否越獄
• 開啟個性化廣告跟蹤
• 收集有關設備的信息（用戶名、電話號碼、IMEI 和 Apple ID）
• 檢索已安裝應用程序的列表

研究人員表示，這些操作的有趣之處在于，驗證器能同時針對 iOS 和 macOS，其結果會被加密并滲透到命令和控制 (C2) 服務器以獲取惡意軟件植入。

該惡意軟件還會定期從 /private/var/tmp 目錄中提取文件，其中包含位置、iCloud 鑰匙串、SQL 相關數據和麥克風錄制數據。麥克風錄制模塊的一個顯著特點是當設備屏幕打開時能夠暫停錄制，表明攻擊者有意掩人耳目。

此外，位置監控模塊經過精心策劃，可使用 GSM 數據，如移動國家代碼 (MCC)、移動網絡代碼 (MNC) 和位置區域代碼 (LAC)，實現在 GPS 數據不可用時測量受害者的位置。

研究人員稱，三角測量惡意軟件幕后人員對 iOS 內部結構進行了深入了解，在攻擊過程中使用了未記錄的私有 API，盡力避免了自己被發現的可能。