iOS应用与Golduck恶意软件C2服务器通信

ang010ela Web安全 2019年1月10日发布
Favorite收藏

导语:​研究人员发现iOS游戏应用程序实为恶意应用,与Golduck恶意软件C2服务器建立了通信,并向C2服务器发送数据。

虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪,但研究人员发现一些经过审核的APP虽然不是恶意应用,但也会有一些有风险的恶意行为。

近期,研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。

Golduck加载器

2017年底,Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件,恶意软件开发者将Golduck作为恶意广告传播平台,还有一些设备入侵功能。

恶意软件加载器常被用于构建僵尸网络,之后可以被用在多阶段感染链条中释放2-3阶段payload,作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为dropper,并没有数据窃取或数据破坏的功能,但攻击者仍然可以将其用作后门。

窃取信息发送到C2

Wandera研究人员发现这些恶意APP都有感染了Golduck的安卓应用程序有相似的功能,包括在APP主屏幕上注入广告等。同时,研究人员发现这些恶意APP与Golduck的C2服务器有通信流量。而且这些iOS app还在发送信息到Golduck C2服务器,包括IP地址、位置数据、设备类型、在设备上展示的广告数等。

The Block Game app

Block Game app

Wandera安全研究人员一共发现了14个不同的游戏APP与Golduck C2服务器有数据通信,分别是:

· Commando Metal: Classic Contra

· Super Pentron Adventure: Super Hard

· Classic Tank vs Super Bomber

· Super Adventure of Maritron

· Roy Adventure Troll Game

· Trap Dungeons: Super Adventure

· Bounce Classic Legend

· Block Game

· Classic Bomber: Super Legend

· Brain It On: Stickman Physics

· Bomber Game: Classic Bomberman

· Classic Brick – Retro Block

· The Climber Brick

· Chicken Shoot Galaxy Invaders

恶意APP已被移除

进一步分析发现有这种行为的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu这三个开发者开发的。苹果公司目前已经移除了所有用Golduck的C2服务器进行广告恶意软件传播和数据收集的iOS APP,但其开发者应该不会放弃开发此类应用。

后记

现实进一步证明信赖苹果应用商店的iOS用户会遭遇到某些未知的风险。与C2建立的这种通信可以看作是一种后门,之后可以直接与设备和用户进行通信。比如黑客可以用广告位展示恶意链接,将用户重定向到安装证书的页面,最终允许安装恶意应用。

本文翻译自:https://www.bleepingcomputer.com/news/security/apple-ios-games-found-talking-to-golduck-malware-candc-servers/如若转载,请注明原文地址: http://www.4hou.com/web/15648.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论