14 apps para iPhone ligam a servidor associado ao Golduck

Foram descobertas apps de jogos clássicos para iPhone que comunicam de forma dissimulada com um servidor associado ao Golduck, um malware que no passado afetou utilizadores de Android. 

Em dezembro de 2017 alguns sites publicavam a notíciade um malware em jogos para Android no Google Play, que uma vez instalados descarregavam e instalavam a partir de um servidor “Golduck” um ficheiro APK malicioso. A ameaça, para além de mostrar publicidade e enviar SMS Premium aos contactos, tinha a capacidade de controlar os equipamentos ao permitir enviar sigilosamente código malicioso para o dispositivo infetado principalmente se eles tivessem acesso root habilitado.

Porém, recentemente investigadores da Wandera descobriram 14 apps para iPhone que de forma dissimulada comunicam com servidores associados ao Golduck. Tratam-se de jogos clássicos que comunicam com o mesmo servidor C&C utilizado pelo malware Golduck.

Conforme explicações de investigadores ao TechCrunch, o uso do domínio estava a ser monitorizado para distribuir malware no passado. Mas decidiram investigar quando detetaram comunicação entre dispositivos iOS e o servidor.

As apps de jogos envolvidas são:

  • Commando Metal: Classic Contra
  • Super Pentron Adventure: Super Hard
  • Classic Tank vs Super Bomber
  • Super Adventure of Maritron
  • Roy Adventure Troll Game
  • Trap Dungeons: Super Adventure
  • Bounce Classic Legend
  • Block Game
  • Classic Bomber: Super Legend
  • Brain It On: Stickman Physics
  • Bomber Game: Classic Bomberman
  • Classic Brick – Retro Block
  • The Climber Brick
  • Chicken Shoot Galaxy Invaders

Apesar de, na opinião de investigadores, as apps em si não representarem uma ameaça, oferecem, no entanto, a hackers a possibilidade de aceder ao dispositivo do utilizador que as tem instaladas.

Por exemplo, no caso do Block Game, o jogo oferece publicidade através do Google Admob, que se ativa quando o utilizador pressiona botão de pausa. Contudo, existem áreas secundárias que também ativam publicidade, mas que não estão relacionadas com o Admob, estão sim associadas ao conhecido servidor malicioso do Goldduck.

Para além disso, ao clicar nesta área são enviados dados ao servidor C&C, como o endereço IP, dados relacionados com a localização, tipo de dispositivo e versão, para além da quantidade de publicidade exibida no dispositivo.

A partir do TechCrunch a situação piorou com a tentativa de instalar uma das apps de jogos num iPhone e monitorizando os dados enviados.

De momento, as aplicações estão apenas a exibir publicidade, mas os investigadores mostraram preocupação pelo risco latente que se aproveite desta funcionalidade de backdoor que deixa a app com o servidor malicioso para enviar algum tipo de comando que consista numa ameaça mais séria.

Estima-se que as 14 apps foram descarregadas cerca de um milhão de vezes desde que foram publicadas. Atualmente, as apps não estão disponíveis na App Store desde que os links estão em baixo.

Como recomendação para os utilizadores, aconselhamos sempre que descarreguem aplicações das lojas oficiais. Mas como podemos ver neste caso e também noutras oportunidades com o Google Play, até nas lojas oficiais já conseguiram infiltrar apps maliciosas. Como tal, é importante tomar precauções adicionais, como rever a quantidade de downloads, comentários e pontuação da app, para além de rever as permissões solicitadas e concedidas à aplicação antes de a instalar.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

3 × 1 =