安全研究人员发现了十几个与golduck恶意软件相关的iPhone应用程序-王其杉博客|程序员|科技新闻
安全研究人员说,他们已经发现十多个iPhone应用程序秘密地与golduck相关的服务器通信,golduck是一个历史上以Android为中心的恶意软件,它会感染流行的经典游戏应用程序。
自从Appthority在Google Play上感染经典和复古游戏后,通过嵌入后门代码,恶意有效负载可以被悄悄推送到设备上,一年多以来,人们就知道了该恶意软件。当时,超过1000万用户受到恶意软件的影响,允许黑客以最高权限运行恶意命令,例如从受害者的手机发送高级短信来赚钱。
现在,研究人员说,与恶意软件相关的iPhone应用程序也可能存在风险。
Wandera,一家企业安全公司,说它发现了14个应用程序——所有复古风格的游戏——与golduck恶意软件使用的相同的命令和控制服务器通信。
Wandera的产品副总裁Michael Covington说:“(golduck)域名在我们建立的监视名单上,因为它过去用于分发特定种类的Android恶意软件。”“当我们开始看到iOS设备和已知恶意软件域之间的通信时,我们进一步调查了。”
这些应用程序包括:特种兵金属:经典反斗篷,超级Pentron冒险:超硬,经典坦克vs超级轰炸机,马里特隆超级冒险,罗伊冒险巨魔游戏,陷阱地牢:超级冒险,弹跳经典传奇,方块游戏,经典轰炸机:超级传奇,开启大脑:斯蒂克曼物理,轰炸机游戏:经典轰炸机,类IC砖-复古砖,登山砖,和射鸡银河入侵者。
据研究人员称,到目前为止他们所看到的情况似乎相对温和——命令和控制服务器只需在应用程序右上角的一个广告空间口袋中推送图标列表。当用户打开游戏时,服务器会告诉应用程序应该为用户提供哪些图标和链接。然而,他们确实看到了应用程序将IP地址数据——在某些情况下,还有位置数据——发送回golduck命令和控制服务器。TechCrunch验证了他们的说法,通过代理在干净的iPhone上运行应用程序,让我们可以看到数据的去向。根据我们所看到的,这个应用程序告诉恶意的golduck服务器什么应用程序、版本、设备类型和设备的IP地址——包括手机上显示了多少广告。
到目前为止,研究人员说这些应用程序中充斥着广告——这可能是一种快速赚钱的方式。但他们表示担心,应用程序和已知的恶意服务器之间的通信可能会使应用程序和设备向恶意命令敞开大门。
“从技术上讲,这些应用本身并没有受到损害;虽然它们不包含任何恶意代码,但它们打开的后门会带来客户不愿承担的风险。
研究人员说:“黑客可以很容易地使用二级广告空间来显示一个链接,该链接将用户重定向并欺骗他们安装配置文件或新证书,最终允许安装更恶意的应用程序。”
其中一个iPhone应用程序“经典轰炸机”,被发现与恶意的命令和控制服务器通信。从那以后它就被从美国商店里拿出来了。(屏幕截图:TechCrunch)
这可以说是任何游戏或应用程序,无论设备制造商或软件。但与已知恶意服务器的连接看起来不太好。Covington说公司已经“观察到恶意内容从服务器上共享”,但这与游戏无关。
这意味着,如果服务器向Android用户发送恶意负载,iPhone用户可能是下一个。
TechCrunch将应用程序列表发送至Data Insights公司Sensor Tower,该公司估计14个应用程序自发布以来已安装了近100万次,不包括重复下载或跨不同设备安装。
当我们试图联系应用程序制造商时,许多应用程序商店链接指向死链接或带有样板隐私政策但没有联系信息的页面。golduck域上的注册者似乎是伪造的,以及与golduck相关的其他域,这些域通常具有不同的名称和电子邮件地址。
苹果在发布前未发表评论。这些应用程序似乎仍然可以从应用程序商店下载,但现在所有人都说它们“目前在美国商店中不可用”。
苹果的应用程序商店可能比谷歌有更好的说唱,谷歌的说唱偶尔会让恶意应用通过网络。实际上,这两家商店都不完美。今年早些时候,安全研究人员在Mac应用商店中发现了一个顶级应用程序,它未经许可收集用户的浏览历史记录,还有几十个iPhone应用程序未经明确要求就向广告商发送用户位置数据。
对于普通用户来说,恶意应用仍然是对移动用户最大和最常见的威胁,即使有锁定的设备软件和广泛的应用审查。
如果只有一个教训,那就是:不要下载你不需要或不信任的东西。
网络安全101:保护您隐私的五个简单安全指南