Исследователи в области безопасности говорят, что обнаружили более десятка приложений для iPhone, которые тайно общаются с сервером, связанным с Golduck, исторически сложившейся для Android вредоносной программой, которая заражает популярные классические игровые приложения.

Вредоносная программа известна уже более года , после того как Appthority впервые обнаружила ее, заражая классические и ретро-игры в Google Play, внедрив закулисный код, который позволял незаметно передавать вредоносные данные на устройство. В то время вредоносное ПО затронуло более 10 миллионов пользователей, что позволило хакерам запускать вредоносные команды с самыми высокими привилегиями, такими как отправка премиальных SMS-сообщений с телефона жертвы, чтобы заработать деньги.

Теперь исследователи говорят, что приложения для iPhone, связанные с вредоносным ПО, также могут представлять опасность.

Wandera, компания по обеспечению безопасности предприятий, заявила, что обнаружила 14 приложений — все в стиле ретро, ​​- которые обменивались данными с одним и тем же сервером управления и контроля, используемым вредоносным ПО Golduck.

«Домен [Golduck] был в списке наблюдения, который мы создали из-за его использования в прошлом для распространения определенного вида вредоносных программ для Android», — сказал Майкл Ковингтон, вице-президент Wandera по продукту. «Когда мы начали видеть связь между устройствами iOS и известным доменом вредоносных программ, мы продолжили исследования».

Приложения включают в себя: Commando Metal: Classic Contra , Super Pentron Adventure: Super Hard , классический танк против Super Bomber , Super Adventure of Maritron , игра Roy Adventure Troll , Trap Dungeons: Super Adventure , классическая легенда Bounce , блочная игра , классический бомбардировщик: Super Легенда , Brain It On: Физика Stickman , Игра Bomber: Классический Bomberman , Классический Кирпич — Ретро Блок , Кирпич Альпиниста , и Захватчики Цыпленка Галактики .

По словам исследователей , то, что они видели до сих пор, выглядит относительно мягким — сервер управления и контроля просто помещает список значков в карман рекламного пространства в верхнем правом углу приложения. Когда пользователь открывает игру, сервер сообщает приложению, какие значки и ссылки должны обслуживать пользователя. Однако они увидели, как приложения отправляют данные IP-адреса, а в некоторых случаях и данные о местоположении, обратно на сервер управления и контроля Golduck. TechCrunch проверил их заявления, запустив приложения на чистом iPhone через прокси-сервер, что позволило нам увидеть, куда поступают данные. Исходя из того, что мы увидели, приложение сообщает вредоносному серверу Golduck, какое приложение, версия, тип устройства и IP-адрес устройства, включая количество объявлений, отображаемых на телефоне.

На данный момент, исследователи говорят, что приложения упакованы с рекламой — вероятно, как способ быстро заработать. Но они выразили обеспокоенность по поводу того, что связь между приложением и сервером, который может быть известен как вредоносный, может открыть приложение и устройство для вредоносных команд.

«Сами приложения технически не скомпрометированы; Несмотря на то, что они не содержат вредоносного кода, открываемый ими бэкдор представляет риск для уязвимости, которую наши клиенты не хотят принимать.

«Хакер может легко использовать дополнительное рекламное пространство для отображения ссылки, которая перенаправляет пользователя и вводит его в действие при установке профиля обеспечения или нового сертификата, который в конечном итоге позволяет устанавливать более вредоносное приложение», — сказали исследователи.

Это можно сказать о любой игре или приложении, независимо от производителя устройства или программного обеспечения. Но соединение с известным вредоносным сервером выглядит не очень хорошо. Ковингтон сказал, что компания «наблюдала, как вредоносный контент передавался с сервера», но что это не связано с играми.

Подразумевается, что если сервер отправляет вредоносные данные пользователям Android, то пользователи iPhone могут быть следующими.

TechCrunch отправил список приложений в компанию Sensor Tower, специализирующуюся на данных, которая подсчитала, что 14 приложений были установлены почти миллион раз с момента их выпуска, за исключением повторных загрузок или установок на разных устройствах.

Когда мы пытались связаться с производителями приложений, многие ссылки в App Store указывали на неработающие ссылки или на страницы с шаблонными политиками конфиденциальности, но без контактной информации. Регистрант в домене Golduck, кажется, является поддельным, наряду с другими доменами, связанными с Golduck, которые часто имеют разные имена и адреса электронной почты.

Apple не комментирует, когда достигнуто до публикации. Похоже, что приложения по-прежнему можно загрузить из App Store, но теперь все говорят, что они «в настоящее время недоступны в магазине в США».

У магазинов приложений Apple может быть лучший рэп, чем у Google, который время от времени позволяет вредоносным приложениям проскальзывать через сеть. На самом деле ни один магазин не идеален. Ранее в этом году исследователи безопасности обнаружили в Mac App Store приложение верхнего уровня, которое собирало историю просмотров пользователей без разрешения, а также десятки приложений для iPhone, которые отправляли данные о местоположении пользователей рекламодателям без предварительного явного запроса.

Для обычного пользователя вредоносные приложения остаются самой большой и наиболее распространенной угрозой для мобильных пользователей — даже с заблокированным программным обеспечением устройства и обширной проверкой приложений.