虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪,但研究人员发现一些经过审核的APP虽然不是恶意应用,但也会有一些有风险的恶意行为。
近期,研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。
Golduck加载器
2017年底,Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件,恶意软件开发者将Golduck作为恶意广告传播平台,还有一些设备入侵功能。
恶意软件加载器常被用于构建僵尸网络,之后可以被用在多阶段感染链条中释放2-3阶段payload,作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为dropper,并没有数据窃取或数据破坏的功能,但攻击者仍然可以将其用作后门。
窃取信息发送到C2
Wandera研究人员发现这些恶意APP都有感染了Golduck的安卓应用程序有相似的功能,包括在APP主屏幕上注入广告等。同时,研究人员发现这些恶意APP与Golduck的C2服务器有通信流量。而且这些iOS app还在发送信息到Golduck C2服务器,包括IP地址、位置数据、设备类型、在设备上展示的广告数等。
Block Game app
Wandera安全研究人员一共发现了14个不同的游戏APP与Golduck C2服务器有数据通信,分别是:
· Commando Metal: Classic Contra
· Super Pentron Adventure: Super Hard
· Classic Tank vs Super Bomber
· Super Adventure of Maritron
· Roy Adventure Troll Game
· Trap Dungeons: Super Adventure
· Bounce Classic Legend
· Block Game
· Classic Bomber: Super Legend
· Brain It On: Stickman Physics
· Bomber Game: Classic Bomberman
· Classic Brick – Retro Block
· The Climber Brick
· Chicken Shoot Galaxy Invaders
恶意APP已被移除
进一步分析发现有这种行为的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu这三个开发者开发的。苹果公司目前已经移除了所有用Golduck的C2服务器进行广告恶意软件传播和数据收集的iOS APP,但其开发者应该不会放弃开发此类应用。
后记
现实进一步证明信赖苹果应用商店的iOS用户会遭遇到某些未知的风险。与C2建立的这种通信可以看作是一种后门,之后可以直接与设备和用户进行通信。比如黑客可以用广告位展示恶意链接,将用户重定向到安装证书的页面,最终允许安装恶意应用。