信息化觀察網(wǎng)

安全研究人員表示，他們已經(jīng)發(fā)現(xiàn)了十幾個與Golduck服務(wù)器偷偷通信的iPhone應(yīng)用程序。Golduck就是之前Android設(shè)備上的惡意軟件，能夠感染流行經(jīng)典的游戲程序。

該惡意軟件已經(jīng)出現(xiàn)了一年之多，由Appthority首次發(fā)現(xiàn)。Appthority表示這個惡意軟件會感染Google Play上的經(jīng)典和復(fù)古游戲，通過嵌入后門代碼，悄悄地向設(shè)備推送惡意工作負(fù)載。同時，有超過1000萬的用戶被該惡意軟件感染，讓黑客以最高的權(quán)限運行惡意命令，如讓受害者手機(jī)發(fā)送高昂的付費短信，以此來獲利。

研究人員現(xiàn)在也表示，與這個惡意軟件相關(guān)的應(yīng)用程序也會存在風(fēng)險。

企業(yè)安全公司W(wǎng)andera表示，他們發(fā)現(xiàn)了14個應(yīng)用程序（都是復(fù)古游戲）與Golduck所使用的命令和控制服務(wù)器進(jìn)行了通信。

“Golduck域在我們的監(jiān)控名單上，因為它以前就是用來分發(fā)一些特定Android應(yīng)用程序的，”Wandera的產(chǎn)品副總裁Michael Covington說道：“當(dāng)我們開始注意到iOS設(shè)備和這個已知的惡意域進(jìn)行通信的時候，我們就進(jìn)行了深入的研究。”

這些應(yīng)用程序包括：Commando Metal: Classic Contra、Super Pentron Adventure: Super Hard、Classic Tank vs Super Bomber、Super Adventure of Maritron、Roy Adventure Troll Game、Trap Dungeons: Super Adventure、Bounce Classic Legend、Block Game、Classic Bomber: Super LegendBrain It On:Stickman Physics、Bomber Game: Classic Bomberman、Classic Brick-Retro Block、The Climber Brick以及Chicken Shoot Galaxy Invaders.

研究人員表示，他們發(fā)現(xiàn)目前的情況還是相對良性的——這個命令和控制服務(wù)器只是簡單地在應(yīng)用程序右上角的廣告位上推送一些圖標(biāo)。當(dāng)用戶打開游戲的時候，服務(wù)器會告知應(yīng)用程序向用戶推送哪一個圖標(biāo)和鏈接。然而，他們發(fā)現(xiàn)應(yīng)用程序會向Golduck命令和控制服務(wù)器反饋IP地址數(shù)據(jù)（有時候還會發(fā)送位置數(shù)據(jù)）。TechCrunch證實了他們的言論，在一部純凈的iPhone上運行這些應(yīng)用程序時使用網(wǎng)絡(luò)代理，能夠讓我們知道這些數(shù)據(jù)的流向。根據(jù)我們所發(fā)現(xiàn)的，該應(yīng)用程序能夠讓惡意的Golduck服務(wù)器知道設(shè)備的應(yīng)用程序、版本、設(shè)備種類以及設(shè)備的IP地址，還包括在手機(jī)上顯示了多少條廣告。

截止到目前，研究人員表示這些應(yīng)用程序是和廣告捆綁在一起的，可能是為了迅速獲利。但是他們擔(dān)心，應(yīng)用程序和惡意服務(wù)器之間的通信可能會使應(yīng)用程序和設(shè)備完全處于惡意命令的控制之下。

“從技術(shù)層面來說，這些應(yīng)用本身并沒有被破解，雖然這些程序中并不存在惡意代碼，但是它們所開啟的后門會暴露出風(fēng)險，這是我們客戶不愿看到的。”

研究人員說道：“黑客可以輕易地使用二級廣告位來顯示鏈接，能夠重新引導(dǎo)用戶，并誘騙用戶安裝一個配置文件或者新的證書，以便最終在設(shè)備上安裝更多的惡意應(yīng)用。”

也就是說，不論哪一家設(shè)備制造商或者哪一款軟件，任何游戲和應(yīng)用都會受到影響。但是連接到已知的惡意服務(wù)器上并不是一件好事。Covington表示，該公司已經(jīng)發(fā)現(xiàn)了這個服務(wù)器共享的惡意內(nèi)容，但是和游戲并不相關(guān)。

這意味著，如果該服務(wù)器發(fā)送惡意工作負(fù)載到Android用戶，那么iPhone用戶可能會成為下一個目標(biāo)。

TechCrunch將程序列表發(fā)送給了數(shù)據(jù)洞察公司Sensor Tower，該公司預(yù)計這14款應(yīng)用程序自發(fā)布以來，已經(jīng)被下載了將近100多萬次，其中并不包括重復(fù)下載或者跨不同設(shè)備下載。

當(dāng)我們嘗試聯(lián)系應(yīng)用開發(fā)商時，App Store中的很多鏈接都指向了無效的鏈接，或者指向沒有聯(lián)系信息的樣板隱私政策頁面。Golduck域的注冊人似乎也是假的，與Golduck相關(guān)聯(lián)的其它域也可能是假的，因為它們的名字和郵件地址通常都不是一樣的。

截止到發(fā)稿，蘋果公司對此未做任何評論。這些應(yīng)用程序似乎還可以通過App Store來下載，但是當(dāng)前顯示“在美國App Store中尚無法下載”。

蘋果App Store的名聲可能要好于Google Play，因為后者每隔一段時間就會出現(xiàn)惡意應(yīng)用程序。實際上，這兩個應(yīng)用商店都不是完美的。早在今年，安全研究人員發(fā)現(xiàn)Mac App Store中的一個頂級應(yīng)用程序在沒有獲得允許的情況下收集用戶的瀏覽器歷史，也有很多iPhone應(yīng)用程序在沒有明確告知用戶的情況下向廣告商發(fā)送用戶的位置數(shù)據(jù)。

對于普通用戶來說，即使鎖定了設(shè)備軟件，以及對應(yīng)用進(jìn)行廣泛的審查，惡意應(yīng)用程序仍然是移動用戶最大以及最常見的威脅。

任何人一直都要銘記的是：不要下載你不需要或者不信任的文件。

原文作者：Zack Whittaker