Durante il monitoraggio del traffico di rete della nostra rete Wi-Fi aziendale dedicata ai dispositivi mobili utilizzando Kaspersky Unified Monitoring and Analysis Platform (KUMA), abbiamo notato un’attività sospetta proveniente da diversi telefoni basati su iOS. Poiché è impossibile ispezionare i moderni dispositivi iOS dall’interno, abbiamo creato backup offline dei dispositivi in questione, li abbiamo ispezionati utilizzando mvt-ios di Mobile Verification Toolkit e abbiamo scoperto tracce di compromissione. Chiameremo questa campagna “Operazione Triangolazione” e tutte le informazioni in nostro possesso saranno raccolte nella pagina Operazione Triangolazione.

Utilizzando gli artefatti forensi, è stato possibile identificare l’insieme dei nomi di dominio utilizzati dagli exploit e le ulteriori fasi dannose. Possono essere utilizzati per controllare i registri DNS alla ricerca di informazioni storiche e per identificare i dispositivi che attualmente eseguono il malware:

addatamarket.net
backuprabbit.com
businessvideonews.com
cloudsponcer.com
datamarketplace.net
mobilegamerstats.com
snoweeanalytics.com
tagclick-cdn.com
topographyupdates.com
unlimitedteacup.com
virtuallaughing.com
web-trackers.com
growthtransport.com
anstv.net
ans7tv.net