欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

iOS应用与Golduck恶意软件C2服务器通信

来源:本站整理 作者:佚名 时间:2019-01-10 TAG: 我要投稿

虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪,但研究人员发现一些经过审核的APP虽然不是恶意应用,但也会有一些有风险的恶意行为。
近期,研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。
Golduck加载器
2017年底,Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件,恶意软件开发者将Golduck作为恶意广告传播平台,还有一些设备入侵功能。
恶意软件加载器常被用于构建僵尸网络,之后可以被用在多阶段感染链条中释放2-3阶段payload,作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为dropper,并没有数据窃取或数据破坏的功能,但攻击者仍然可以将其用作后门。
窃取信息发送到C2
Wandera研究人员发现这些恶意APP都有感染了Golduck的安卓应用程序有相似的功能,包括在APP主屏幕上注入广告等。同时,研究人员发现这些恶意APP与Golduck的C2服务器有通信流量。而且这些iOS app还在发送信息到Golduck C2服务器,包括IP地址、位置数据、设备类型、在设备上展示的广告数等。

Block Game app

Wandera安全研究人员一共发现了14个不同的游戏APP与Golduck C2服务器有数据通信,分别是:
· Commando Metal: Classic Contra
· Super Pentron Adventure: Super Hard
· Classic Tank vs Super Bomber
· Super Adventure of Maritron
· Roy Adventure Troll Game
· Trap Dungeons: Super Adventure
· Bounce Classic Legend
· Block Game
· Classic Bomber: Super Legend
· Brain It On: Stickman Physics
· Bomber Game: Classic Bomberman
· Classic Brick – Retro Block
· The Climber Brick
· Chicken Shoot Galaxy Invaders
恶意APP已被移除
进一步分析发现有这种行为的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu这三个开发者开发的。苹果公司目前已经移除了所有用Golduck的C2服务器进行广告恶意软件传播和数据收集的iOS APP,但其开发者应该不会放弃开发此类应用。
后记
现实进一步证明信赖苹果应用商店的iOS用户会遭遇到某些未知的风险。与C2建立的这种通信可以看作是一种后门,之后可以直接与设备和用户进行通信。比如黑客可以用广告位展示恶意链接,将用户重定向到安装证书的页面,最终允许安装恶意应用。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载