尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
雖然蘋果公司一直對蘋果應用商店的 APP 審核機制引以為豪,但研究人員發現一些經過審核的 APP 雖然不是惡意應用,但也會有一些有風險的惡意行為。
近期,研究人員就在蘋果應用商店中發現許多 iOS 應用程序會將數據轉移到 Golduck 加載器惡意軟件使用的 C2 服務器。
Golduck 加載器
2017 年底,Appthority 發現 Google play 應用商店中多個應用程序中存在 Golduck 惡意軟件,惡意軟件開發者將 Golduck 作為惡意廣告傳播平台,還有一些設備入侵功能。
惡意軟件加載器常被用於構建僵屍網路,之後可以被用在多階段感染鏈條中釋放 2-3 階段 payload,作為惡意軟件即服務 MaaS 的一部分。雖然惡意軟件加載器在許多時候都作為 dropper,並沒有數據竊取或數據破壞的功能,但攻擊者仍然可以將其用作後門。
竊取信息發送到 C2
Wandera 研究人員發現這些惡意 APP 都有感染了 Golduck 的安卓應用程序有相似的功能,包括在 APP 主螢幕上注入廣告等。同時,研究人員發現這些惡意 APP 與 Golduck 的 C2 服務器有通信流量。而且這些 iOS app 還在發送信息到 Golduck C2 服務器,包括 IP 地址、位置數據、設備類型、在設備上展示的廣告數等。
Block Game app
Wandera 安全研究人員一共發現了 14 個不同的遊戲 APP 與 Golduck C2 服務器有數據通信,分別是:
·Commando Metal: Classic Contra
·Super Pentron Adventure: Super Hard
·Classic Tank vs Super Bomber
·Super Adventure of Maritron
·Roy Adventure Troll Game
·Trap Dungeons: Super Adventure
·Bounce Classic Legend
·Block Game
·Classic Bomber: Super Legend
·Brain It On: Stickman Physics
·Bomber Game: Classic Bomberman
·Classic Brick – Retro Block
·The Climber Brick
· Chicken Shoot Galaxy Invaders
惡意 APP 已被移除
進一步分析發現有這種行為的 iOS APP 都是 Nguyen Hue, Gaing Thi, Tran Tu 這三個開發者開發的。蘋果公司目前已經移除了所有用 Golduck 的 C2 服務器進行廣告惡意軟件傳播和數據收集的 iOS APP,但其開發者應該不會放棄開發此類應用。
後記
現實進一步證明信賴蘋果應用商店的 iOS 用戶會遭遇到某些未知的風險。與 C2 建立的這種通信可以看作是一種後門,之後可以直接與設備和用戶進行通信。比如黑客可以用廣告位展示惡意鏈接,將用戶重定向到安裝證書的頁面,最終允許安裝惡意應用。