Investigadores de la empresa de seguridad empresarial Wandera dicen que han encontrado más de una docena de aplicaciones de iPhone que se comunican de forma encubierta con un servidor asociado a Golduck, un malware centrado en Android que infecta a las aplicaciones de juegos más populares.
El malware se conoce desde hace más de un año, después de que fue descubierto por primera vez por Appthority que infectaba los juegos clásicos y retro en Google Play, incorporando un código de puerta trasera que permitía que las cargas maliciosas se introdujeran silenciosamente en el dispositivo.
En ese momento, más de 10 millones de usuarios se vieron afectados por el malware, lo que permite a los piratas informáticos ejecutar comandos maliciosos con los privilegios más altos, como enviar mensajes SMS de alta calidad desde el teléfono de la víctima para ganar dinero.
Ahora, los investigadores dicen que las aplicaciones de iPhone vinculadas al malware también podrían presentar un riesgo.
Wandera encontró 14 aplicaciones, todas de juegos de estilo retro, que se comunicaban con el mismo servidor de comando y control utilizado por el malware Golduck.
En vigilancia
“El dominio [Golduck] estaba en una lista de vigilancia que establecimos debido a su uso en la distribución de una variedad específica de malware para Android en el pasado”, dijo Michael Covington, vicepresidente de productos de Wandera. “Cuando comenzamos a ver la comunicación entre los dispositivos iOS y el dominio de malware conocido, investigamos más”.
Las aplicaciones incluyen: Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, y Chicken Shoot Galaxy Invaders.
Según los investigadores, lo que vieron hasta ahora parece relativamente benigno: el servidor de comando y control simplemente empuja una lista de iconos en un contenedor de espacio publicitario en la esquina superior derecha de la aplicación.
Cuando el usuario abre el juego, el servidor le dice a la aplicación qué iconos y enlaces debe servir al usuario. Sin embargo, vieron las aplicaciones que envían datos de direcciones IP y, en algunos casos, datos de ubicación, al servidor de control y comando de Golduck.
Verificado vía proxy
TechCrunch verificó sus reclamos, ejecutando las aplicaciones en un iPhone limpio a través de un proxy, lo que nos permite ver dónde van los datos. Según lo que vimos, la aplicación le dice al servidor Golduck malicioso qué aplicación, versión, tipo de dispositivo y dirección IP del dispositivo, incluida la cantidad de anuncios que se mostraron en el teléfono.
Los investigadores dijeron que las aplicaciones están llenas de anuncios, probablemente como una forma de hacer dinero rápido. Pero expresaron su preocupación de que la comunicación entre la aplicación y el servidor malicioso conocido podría abrir la aplicación, y el dispositivo, a comandos maliciosos en el futuro.
“Las aplicaciones en sí mismas no están comprometidas técnicamente; si bien no contienen ningún código malicioso, la puerta trasera que abren presenta un riesgo de exposición que la gente no desean tomar.
“Un pirata informático podría usar fácilmente el espacio de publicidad para mostrar un enlace que redirige al usuario y lo engaña para que instale un perfil de aprovisionamiento o un nuevo certificado que finalmente permita la instalación de una aplicación más maliciosa”, dijeron los investigadores.
Advertencia
La implicación es que si el servidor envía cargas maliciosas a usuarios de Android, los usuarios de iPhone podrían ser los próximos.
TechCrunch envió la lista de aplicaciones a la empresa Sensor Tower, que estima que las 14 aplicaciones se instalaron cerca de un millón de veces desde su lanzamiento, excluyendo las descargas o instalaciones repetidas en diferentes dispositivos.
Cuando intentamos contactar a los fabricantes de la aplicación, muchos de los enlaces de la App Store apuntaban a enlaces muertos o páginas con políticas de privacidad repetidas pero sin información de contacto. El registrante en el dominio de Golduck parece ser falso, junto con otros dominios asociados con Golduck, que a menudo tienen diferentes nombres y direcciones de correo electrónico.
Apple no hizo comentarios al ser consultados por los especialistas de Wandera. Parece que las aplicaciones aún se pueden descargar desde la App Store, pero todas ahora dicen que “actualmente no están disponibles en la tienda de EU”
Para el usuario promedio, las aplicaciones maliciosas siguen siendo la amenaza más grande y más común para los usuarios móviles.
Si hay una lección, ahora y siempre: no descargues lo que no necesitas o en lo que no puedes confiar.
Con información de Forbes.