Wandera Threat Labs研究人员发现有十多个iOS应用程序感染了Clicker Trojan(点击木马)恶意代码并在苹果的应用商店传播。其使用和安卓广告欺诈活动相似的命令和控制服务器,暗自进行广告欺诈活动。
捆绑17个iOS应用程序的恶意代码组件,能够与现有的命令和控制(C2)服务器进行连接,并且它可以模拟广告点击,在后台打开网页,而无需用户参与,利用所有被感染的iPhone、iPad和iPod,从而开展了一次广告欺诈活动。
Wandera Threat Labs的研究人员解释说:“大多数Clicker Trojan的目的是虚假增加网站访问量,为按点击付费的攻击者增加收入。他们还可以人为地增加竞争对手的广告网络欠费来消耗对手的预算。”
受感染的应用程序图标(Wandera)
所有这些感染的应用程序都出自一家总部位于印度的名为AppAspect Technologies Pvt的公司。这家软件开发公司已经在苹果应用商店中发布了51个应用程序,并且在谷歌应用商店中也拥有28个安卓应用程序。
此次iOS应用程序开发人员使用同一C2服务器,但安卓应用程序却没有表现出任何恶意行为。然而,AppAspect的安卓应用程序过去曾经被感染并从商店中删除,将在以后重新发布。
目前,研究人员尚不清楚恶意代码是由应用程序的开发人员有意添加还是在加入受感染的第三方框架后无意添加的。
恶意软件分门别类,多种多样,并广泛传播,其中包括但不限于平台实用工具、旅行、通讯录、速度表或BMI计算器之类的软件。
研究人员说:“我们对所有免费iTunes应用程序进行了测试,结果表明,在35个免费应用程序中,有17个都感染了相同的恶意点击程序,并且连接同一个C&C服务器。”
Wandera的研究人员还分享了目前已知的感染Clicker Trojan的iOS应用的完整列表。除“My Train Info – IRCTC和PNR”外,所有这些均已从应用商店中删除:
研究人员首次发现iOS Clicker Trojan程序使用的C2服务器,可以连接到背后的攻击者,和安卓Clicker Trojan活动手法如出一辙。谷歌应用商店超过33个应用程序捆绑了安卓Clicker Trojan恶意软件,在从商店中删除之前,已下载了超过1亿次。而如今,苹果应用商店不提供应用安装统计信息,因此无法知道在这次的广告欺诈活动中感染了多少人的iOS设备。
该木马被称为Android.Click.312.origin,会在启动应用程序8小时后激活以逃避检测。 随后,研究人员在分析恶意活动时发现了另一个变体,名为Android.Click.313.origin。
在受感染的安卓设备上运行后,恶意软件能够收集系统信息,例如操作系统版本、设备的制造商和型号、用户的居住国家/地区、互联网连接类型、用户的时区以及带有Clicker的应用程序信息木马程序。然后将信息存档并传送到C2服务器,该服务器回复有关命令和要执行安装的新程序信息。
团队建议软件开发人员通过应用程序赚钱并且要为此负责任,而不是将可疑的SDK集成到其软件中。iOS和Android广告欺诈活动共享相同的C2基础架构,目前正在调查因这项研究而浮出水面的其他IOC,并将发布后续报告。
Wandera的研究人员总结,这一发现是官方移动应用程序商店中出现的一系列恶意应用程序中的最新发现,也证明了恶意软件确实会影响iOS生态系统。在正常的网络环境中,移动恶意软件仍然是鲜为人知的威胁之一,但在具有针对性的攻击场景中,使用率更高。建议用户检查所安装的应用程序是否合法,并具有良好的评价,并确保正常运行时,可以不要求更多的权限。
Wandera还建议安装移动安全解决方案,该解决方案将阻止恶意应用与其C2服务器连接,以保护个人数据免遭窃取。此外,使用安全软件可以保护用户设备,还可以限制恶意软件的功能,防止某些潜在威胁。
*参考来源:bleepingcomputer,Sandra1432编译,转载请注明来自FreeBuf.COM