iOS應用與Golduck惡意軟體C2伺服器通信
雖然蘋果公司一直對蘋果應用商店的APP審核機制引以為豪,但研究人員發現一些經過審核的APP雖然不是惡意應用,但也會有一些有風險的惡意行為。
近期,研究人員就在蘋果應用商店中發現許多iOS應用程序會將數據轉移到Golduck載入器惡意軟體使用的C2伺服器。
Golduck載入器
2017年底,Appthority發現Google play應用商店中多個應用程序中存在Golduck惡意軟體,惡意軟體開發者將Golduck作為惡意廣告傳播平台,還有一些設備入侵功能。
惡意軟體載入器常被用於構建殭屍網路,之後可以被用在多階段感染鏈條中釋放2-3階段payload,作為惡意軟體即服務MaaS的一部分。雖然惡意軟體載入器在許多時候都作為dropper,並沒有數據竊取或數據破壞的功能,但攻擊者仍然可以將其用作後門。
竊取信息發送到C2
Wandera研究人員發現這些惡意APP都有感染了Golduck的安卓應用程序有相似的功能,包括在APP主屏幕上注入廣告等。同時,研究人員發現這些惡意APP與Golduck的C2伺服器有通信流量。而且這些iOS app還在發送信息到Golduck C2伺服器,包括IP地址、位置數據、設備類型、在設備上展示的廣告數等。
Block Game app
Wandera安全研究人員一共發現了14個不同的遊戲APP與Golduck C2伺服器有數據通信,分別是:
·Commando Metal: Classic Contra
·Super Pentron Adventure: Super Hard
·Classic Tank vs Super Bomber
·Super Adventure of Maritron
·Roy Adventure Troll Game
·Trap Dungeons: Super Adventure
·Bounce Classic Legend
·Block Game
·Classic Bomber: Super Legend
·Brain It On: Stickman Physics
·Bomber Game: Classic Bomberman
·Classic Brick – Retro Block
·The Climber Brick
·Chicken Shoot Galaxy Invaders
惡意APP已被移除
進一步分析發現有這種行為的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu這三個開發者開發的。蘋果公司目前已經移除了所有用Golduck的C2伺服器進行廣告惡意軟體傳播和數據收集的iOS APP,但其開發者應該不會放棄開發此類應用。
後記
現實進一步證明信賴蘋果應用商店的iOS用戶會遭遇到某些未知的風險。與C2建立的這種通信可以看作是一種後門,之後可以直接與設備和用戶進行通信。比如黑客可以用廣告位展示惡意鏈接,將用戶重定向到安裝證書的頁面,最終允許安裝惡意應用。
TAG:嘶吼RoarTalk |