iOS應用與Golduck惡意軟體C2伺服器通信

雖然蘋果公司一直對蘋果應用商店的APP審核機制引以為豪，但研究人員發現一些經過審核的APP雖然不是惡意應用，但也會有一些有風險的惡意行為。

近期，研究人員就在蘋果應用商店中發現許多iOS應用程序會將數據轉移到Golduck載入器惡意軟體使用的C2伺服器。

Golduck載入器

2017年底，Appthority發現Google play應用商店中多個應用程序中存在Golduck惡意軟體，惡意軟體開發者將Golduck作為惡意廣告傳播平台，還有一些設備入侵功能。

惡意軟體載入器常被用於構建殭屍網路，之後可以被用在多階段感染鏈條中釋放2-3階段payload，作為惡意軟體即服務MaaS的一部分。雖然惡意軟體載入器在許多時候都作為dropper，並沒有數據竊取或數據破壞的功能，但攻擊者仍然可以將其用作後門。

竊取信息發送到C2

Wandera研究人員發現這些惡意APP都有感染了Golduck的安卓應用程序有相似的功能，包括在APP主屏幕上注入廣告等。同時，研究人員發現這些惡意APP與Golduck的C2伺服器有通信流量。而且這些iOS app還在發送信息到Golduck C2伺服器，包括IP地址、位置數據、設備類型、在設備上展示的廣告數等。

Block Game app

Wandera安全研究人員一共發現了14個不同的遊戲APP與Golduck C2伺服器有數據通信，分別是：

·Commando Metal: Classic Contra

·Super Pentron Adventure: Super Hard

·Classic Tank vs Super Bomber

·Super Adventure of Maritron

·Roy Adventure Troll Game

·Trap Dungeons: Super Adventure

·Bounce Classic Legend

·Block Game

·Classic Bomber: Super Legend

·Brain It On: Stickman Physics

·Bomber Game: Classic Bomberman

·Classic Brick – Retro Block

·The Climber Brick

·Chicken Shoot Galaxy Invaders

惡意APP已被移除

進一步分析發現有這種行為的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu這三個開發者開發的。蘋果公司目前已經移除了所有用Golduck的C2伺服器進行廣告惡意軟體傳播和數據收集的iOS APP，但其開發者應該不會放棄開發此類應用。

後記

現實進一步證明信賴蘋果應用商店的iOS用戶會遭遇到某些未知的風險。與C2建立的這種通信可以看作是一種後門，之後可以直接與設備和用戶進行通信。比如黑客可以用廣告位展示惡意鏈接，將用戶重定向到安裝證書的頁面，最終允許安裝惡意應用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！