Investigadores de seguridad encuentran más de una docena de aplicaciones de iPhone vinculadas al malware Golduck

Investigadores de seguridad encuentran más de una docena de aplicaciones de iPhone vinculadas al malware Golduck

by

in

Los investigadores de seguridad dicen que han encontrado más de una docena de aplicaciones de iPhone que se comunican de forma encubierta con un servidor asociado con Golduck, un malware centrado en Android que infecta a las aplicaciones de juegos más populares.

El malware se conoce desde hace más de un año, después de que fue descubierto por primera vez por Appthority que infectaba los juegos clásicos y retro en Google Play, incorporando un código de puerta trasera que permitía que las cargas maliciosas se introdujeran silenciosamente en el dispositivo. En ese momento, más de 10 millones de usuarios se vieron afectados por el malware, lo que permite a los piratas informáticos ejecutar comandos maliciosos con los privilegios más altos, como enviar mensajes SMS de alta calidad desde el teléfono de la víctima para ganar dinero.

Ahora, los investigadores dicen que las aplicaciones de iPhone vinculadas al malware también podrían presentar un riesgo.

Wandera, una empresa de seguridad empresarial, dijo que encontró 14 aplicaciones, todas de juegos de estilo retro, que se comunicaban con el mismo servidor de comando y control utilizado por el malware Golduck.

"Los [Golduck] El dominio estaba en una lista de vigilancia que establecimos debido a su uso en la distribución de una variedad específica de malware para Android en el pasado ", dijo Michael Covington, vicepresidente de productos de Wandera. "Cuando comenzamos a ver la comunicación entre los dispositivos iOS y el dominio de malware conocido, investigamos más".

Según los investigadores, lo que vieron hasta ahora parece relativamente benigno: el servidor de comando y control simplemente empuja una lista de íconos en un bolsillo de espacio publicitario en la esquina superior derecha de la aplicación. Cuando el usuario abre el juego, el servidor le dice a la aplicación qué íconos y enlaces debe servir al usuario. Sin embargo, vieron las aplicaciones que envían datos de direcciones IP y, en algunos casos, datos de ubicación, al servidor de control y comando de Golduck. TechCrunch verificó sus reclamos, ejecutando las aplicaciones en un iPhone limpio a través de un proxy, lo que nos permite ver dónde van los datos. Según lo que vimos, la aplicación le dice al servidor Golduck malicioso qué aplicación, versión, tipo de dispositivo y dirección IP del dispositivo, incluida la cantidad de anuncios que se mostraron en el teléfono.

A partir de ahora, los investigadores dicen que la aplicación está repleta de anuncios, probablemente como una forma de hacer dinero rápido. Pero expresaron su preocupación de que la comunicación entre la aplicación y el servidor malicioso conocido podría abrir la aplicación, y el dispositivo, a comandos maliciosos en la línea.

“Las aplicaciones en sí mismas no están comprometidas técnicamente; Si bien no contienen ningún código malicioso, la puerta trasera que abren presenta un riesgo de exposición que nuestros clientes no desean tomar.

"Un pirata informático podría usar fácilmente el espacio de publicidad secundaria para mostrar un enlace que redirige al usuario y lo engaña para que instale un perfil de aprovisionamiento o un nuevo certificado que finalmente permita la instalación de una aplicación más maliciosa", dijeron los investigadores.

Una de las aplicaciones de iPhone, "Classic Bomber", que se detectó al comunicarse con un servidor de control y comando malicioso. Desde entonces, ha sido retirado de la tienda de EE.UU. (Captura de pantalla: TechCrunch)

Eso podría decirse de cualquier juego o aplicación, independientemente del fabricante del dispositivo o del software. Pero la conexión a un servidor malicioso conocido no es un buen aspecto. Covington dijo que la compañía ha "observado contenido compartido malicioso desde el servidor", pero que no estaba relacionado con los juegos.

La implicación es que si el servidor envía cargas maliciosas a usuarios de Android, los usuarios de iPhone podrían ser los siguientes.

TechCrunch envió la lista de aplicaciones a la empresa Sensor Tower, que estima que las 14 aplicaciones se instalaron cerca de un millón de veces desde su lanzamiento, excluyendo las descargas o instalaciones repetidas en diferentes dispositivos.

Cuando intentamos contactar a los fabricantes de la aplicación, muchos de los enlaces de la App Store apuntaban a enlaces muertos o páginas con políticas de privacidad repetidas pero sin información de contacto. El registrante en el dominio de Golduck parece ser falso, junto con otros dominios asociados con Golduck, que a menudo tienen diferentes nombres y direcciones de correo electrónico.

Apple no comentó cuando llegó antes de la publicación. Parece que las aplicaciones aún se pueden descargar desde la App Store, pero todas ahora dicen que "actualmente no están disponibles en la tienda de EE. UU."

Las tiendas de aplicaciones de Apple pueden tener una reputación mejor que la de Google, lo que de vez en cuando permite que las aplicaciones maliciosas pasen por la red. En realidad, ninguna de las tiendas es perfecta. A principios de este año, los investigadores de seguridad encontraron una aplicación de primer nivel en la Mac App Store que estaba recopilando el historial de navegación de los usuarios sin permiso, y docenas de aplicaciones de iPhone que enviaban datos de ubicación de los usuarios a los anunciantes sin preguntar primero explícitamente.

Para el usuario promedio, las aplicaciones maliciosas siguen siendo la amenaza más grande y más común para los usuarios móviles, incluso con el software de dispositivo bloqueado y la extensa investigación de las aplicaciones.

Si hay una lección, ahora y siempre: no descargues lo que no necesitas o no puedes confiar.


Source link