记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

iOS应用与Golduck恶意软件C2服务器通信

2019-01-10 12:20

虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪,但研究人员发现一些经过审核的APP虽然不是恶意应用,但也会有一些有风险的恶意行为。

近期,研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。

Golduck加载器

2017年底,Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件,恶意软件开发者将Golduck作为恶意广告传播平台,还有一些设备入侵功能。

恶意软件加载器常被用于构建僵尸网络,之后可以被用在多阶段感染链条中释放2-3阶段payload,作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为dropper,并没有数据窃取或数据破坏的功能,但攻击者仍然可以将其用作后门。

窃取信息发送到C2

Wandera研究人员发现这些恶意APP都有感染了Golduck的安卓应用程序有相似的功能,包括在APP主屏幕上注入广告等。同时,研究人员发现这些恶意APP与Golduck的C2服务器有通信流量。而且这些iOS app还在发送信息到Golduck C2服务器,包括IP地址、位置数据、设备类型、在设备上展示的广告数等。

The Block Game app

Block Game app

Wandera安全研究人员一共发现了14个不同的游戏APP与Golduck C2服务器有数据通信,分别是:

· Commando Metal: Classic Contra

· Super Pentron Adventure: Super Hard

· Classic Tank vs Super Bomber

· Super Adventure of Maritron

· Roy Adventure Troll Game

· Trap Dungeons: Super Adventure

· Bounce Classic Legend

· Block Game

· Classic Bomber: Super Legend

· Brain It On: Stickman Physics

· Bomber Game: Classic Bomberman

· Classic Brick – Retro Block

· The Climber Brick

· Chicken Shoot Galaxy Invaders

恶意APP已被移除

进一步分析发现有这种行为的iOS APP都是Nguyen Hue, Gaing Thi, Tran Tu这三个开发者开发的。苹果公司目前已经移除了所有用Golduck的C2服务器进行广告恶意软件传播和数据收集的iOS APP,但其开发者应该不会放弃开发此类应用。

后记

现实进一步证明信赖苹果应用商店的iOS用户会遭遇到某些未知的风险。与C2建立的这种通信可以看作是一种后门,之后可以直接与设备和用户进行通信。比如黑客可以用广告位展示恶意链接,将用户重定向到安装证书的页面,最终允许安装恶意应用。

本文翻译自:https://www.bleepingcomputer.com/news/security/apple-ios-games-found-talking-to-golduck-malware-candc-servers/如若转载,请注明原文地址: http://www.hackdig.com/01/hack-54091.htm
知识来源: www.4hou.com/web/15648.html

阅读:125583 | 评论:0 | 标签:Web安全 Golduck恶意软件 iOS

想收藏或者和大家分享这篇好文章→复制链接地址

“iOS应用与Golduck恶意软件C2服务器通信”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词