iOS应用与Golduck恶意软件C2服务器通信

虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪，但研究人员发现一些经过审核的APP虽然不是恶意应用，但也会有一些有风险的恶意行为。

近期，研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。

Golduck加载器

2017年底，Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件，恶意软件开发者将Golduck作为恶意广告传播平台，还有一些设备入侵功能。

恶意软件加载器常被用于构建僵尸网络，之后可以被用在多阶段感染链条中释放2-3阶段payload，作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为dropper，并没有数据窃取或数据破坏的功能，但攻击者仍然可以将其用作后门。

窃取信息发送到C2

Wandera研究人员发现这些恶意APP都有感染了Golduck的安卓应用程序有相似的功能，包括在APP主屏幕上注入广告等。同时，研究人员发现这些恶意APP与Golduck的C2服务器有通信流量。而且这些iOS app还在发送信息到Golduck C2服务器，包括IP地址、位置数据、设备类型、在设备上展示的广告数等。

Block Game app

Wandera安全研究人员一共发现了14个不同的游戏APP与Golduck C2服务器有数据通信，分别是：

· Commando Metal: Classic Contra

· Super Pentron Adventure: Super Hard

· Classic Tank vs Super Bomber

· Super Adventure of Maritron

· Roy Adventure Troll Game

· Trap Dungeons: Super Adventure

· Bounce Classic Legend

· Block Game

· Classic Bomber: Super Legend

· Brain It On: Stickman Physics

· Bomber Game: Classic Bomberman

· Classic Brick – Retro Block

· The Climber Brick

· Chicken Shoot Galaxy Invaders

恶意APP已被移除

进一步分析发现有这种行为的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu这三个开发者开发的。苹果公司目前已经移除了所有用Golduck的C2服务器进行广告恶意软件传播和数据收集的iOS APP，但其开发者应该不会放弃开发此类应用。

后记

现实进一步证明信赖苹果应用商店的iOS用户会遭遇到某些未知的风险。与C2建立的这种通信可以看作是一种后门，之后可以直接与设备和用户进行通信。比如黑客可以用广告位展示恶意链接，将用户重定向到安装证书的页面，最终允许安装恶意应用。