iOS 運用與 Golduck 惡意軟件 C2 服務器通信

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

雖然蘋果公司一直對蘋果應用商店的 APP 審核機制引以為豪,但研究人員發現一些經過審核的 APP 雖然不是惡意應用,但也會有一些有風險的惡意行為。

近期,研究人員就在蘋果應用商店中發現許多 iOS 應用程序會將數據轉移到 Golduck 加載器惡意軟件使用的 C2 服務器。

Golduck 加載器

2017 年底,Appthority 發現 Google play 應用商店中多個應用程序中存在 Golduck 惡意軟件,惡意軟件開發者將 Golduck 作為惡意廣告傳播平台,還有一些設備入侵功能。

惡意軟件加載器常被用於構建僵屍網路,之後可以被用在多階段感染鏈條中釋放 2-3 階段 payload,作為惡意軟件即服務 MaaS 的一部分。雖然惡意軟件加載器在許多時候都作為 dropper,並沒有數據竊取或數據破壞的功能,但攻擊者仍然可以將其用作後門。

竊取信息發送到 C2

Wandera 研究人員發現這些惡意 APP 都有感染了 Golduck 的安卓應用程序有相似的功能,包括在 APP 主螢幕上注入廣告等。同時,研究人員發現這些惡意 APP 與 Golduck 的 C2 服務器有通信流量。而且這些 iOS app 還在發送信息到 Golduck C2 服務器,包括 IP 地址、位置數據、設備類型、在設備上展示的廣告數等。

Block Game app

Wandera 安全研究人員一共發現了 14 個不同的遊戲 APP 與 Golduck C2 服務器有數據通信,分別是:

·Commando Metal: Classic Contra

·Super Pentron Adventure: Super Hard

·Classic Tank vs Super Bomber

·Super Adventure of Maritron

·Roy Adventure Troll Game

·Trap Dungeons: Super Adventure

·Bounce Classic Legend

·Block Game

·Classic Bomber: Super Legend

·Brain It On: Stickman Physics

·Bomber Game: Classic Bomberman

·Classic Brick – Retro Block

·The Climber Brick

· Chicken Shoot Galaxy Invaders

惡意 APP 已被移除

進一步分析發現有這種行為的 iOS APP 都是 Nguyen Hue, Gaing Thi, Tran Tu 這三個開發者開發的。蘋果公司目前已經移除了所有用 Golduck 的 C2 服務器進行廣告惡意軟件傳播和數據收集的 iOS APP,但其開發者應該不會放棄開發此類應用。

後記

現實進一步證明信賴蘋果應用商店的 iOS 用戶會遭遇到某些未知的風險。與 C2 建立的這種通信可以看作是一種後門,之後可以直接與設備和用戶進行通信。比如黑客可以用廣告位展示惡意鏈接,將用戶重定向到安裝證書的頁面,最終允許安裝惡意應用。

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!