Впервые Triangulum заявил о себе в 2017 году, выпустив троян удаленного доступа, способный скачивать данные с помощью C&C-серверов.
В последнее время Triangulum сотрудничал с другим злоумышленником под ником HexaGoN Dev, который специализируется на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа. Вместе они создали троян Rogue.
Rogue использует сервисы платформы Firebase и маскируется под официальное приложение от Google.
Вся продуктовая линейка двух мошенников представляет собой одно и то же ПО с незначительными техническими изменениями, которое перепродавалось по несколько раз с помощью ребрендинга и различных маркетинговых кампаний.
Продавец вредоносного ПО под ником Triangulum впервые появился в даркнете в начале 2017 года. Его первый продукт представлял собой мобильный троян удаленного доступа для извлечения информации с помощью C&C-сервера и уничтожения данных на устройстве, включая операционную систему. Четыре месяца спустя Triangulum начал продавать свое первое вредоносное мобильное ПО для Android.
После этого Triangulum исчез из даркнета почти на полтора года, вновь появившись 6 апреля 2019 с новым продуктом, готовым к продаже. С этого момента Triangulum оживился: в течение полугода он активно рекламировал несколько продуктов. Исследователи предполагают, что за время своего отсутствия ему удалось создать целую сеть для производства и распространения вредоносных программ.
В ходе дальнейшего расследования команде исследователей Check Point Research удалось установить, что Triangulum работал вместе с другим злоумышленником под ником HexaGoN Dev, который специализировался на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа. Triangulum изо всех сил пытался самостоятельно продавать свои продукты, но, не добившись успеха, был вынужден заключить партнерские отношения с «подпольным маркетологом» HexaGoN Dev, который помог ему продавать один и тот же продукт под разными названиями. Ранее Triangulum купил несколько проектов, созданных HeXaGoN Dev, и теперь навыки программирования HeXaGon Dev в сочетании с успешным социальным маркетингом Triangulum стали представлять реальную угрозу. Они создали несколько вредоносных программ для Android, включая криптомайнеры, кейлоггеры и P2P-бэкдоры.
Triangulum и HeXaGoN Dev объединили усилия для создания новой вредоносной программы. Rogue, относящийся к семейству мобильных троянов удаленного доступа, позволяет получать доступ к устройствам жертв, скачивать любые данные, в том числе фотографии, геолокацию, контакты и сообщения, изменять файлы на Android-устройстве и загружать дополнительные вредоносные программы. Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если разрешения не были получены, Rogue неоднократно требует их предоставить.
Затем программа регистрируется в качестве администратора устройства. Если пользователь попытается отозвать права администратора, на экране тут же появляется пугающее сообщение: «Вы уверены, что хотите стереть все данные?» Чтобы скрыть свои намерения, Rogue маскируется под официальное приложение от Google. В качестве C&C-сервера используется платформа Firebase, и, следовательно, все команды, управляющие вредоносным ПО, а также украденная с устройства информация доставляются с помощью инфраструктуры Firebase.
«Исследование Check Point Research позволило нам «подглядеть» за работой даркнета: как развивается вредоносное ПО, почему его нелегко отследить, классифицировать или эффективно выстроить защиту от преступников. Кроме того, взаимосвязь между этим «сумасшедшим» подпольным рынком и реальным миром легко позволяет злоумышленникам искажать факты и создавать фальшивые продукты. Даркнет все еще остается своего рода «Диким Западом», на котором сложно понять, что является угрозой, а что — нет», — комментирует Сергей Забула, руководитель группы инженеров по работе с партнерами Check Point Software Technologies.