Expertos de la compañía de seguridad empresarial Wandera afirman haber encontrado más de una docena de aplicaciones de iPhone que establecen comunicación de forma secreta con un servidor vinculado a Golduck, un malware que afecta principalmente a dispositivos Android, infectando las aplicaciones de juegos más populares.
El malware se descubrió por primera vez por Appthority desde hace más de un año. Operaba infectando los juegos clásicos y retro en Google Play, mediante un código de puerta trasera que permitía que las cargas maliciosas se introdujeran de forma silenciosa en el móvil.
En ese entonces, la afectación alcanzó a más de 10 millones de usuarios, permitiendo a los hackers ejecutar comandos maliciosos con permisos importantes, como enviar mensajes de texto de alta calidad desde el teléfono del usuario para ganar dinero.
La noticia ahora es que las aplicaciones de iPhone vinculadas al malware también podrían presentar un riesgo.
Wandera encontró al menos 14 aplicaciones, todas de juegos de estilo retro, que se comunicaban con el mismo servidor de comando y control utilizado por el malware Golduck.
La investigación
“El dominio (Golduck) estaba en una lista de vigilancia que establecimos debido a su uso en la distribución de una variedad específica de malware para Android en el pasado”, señaló Michael Covington, vicepresidente de productos de Wandera.
“Cuando comenzamos a ver la comunicación entre los dispositivos iOS y el dominio de malware conocido, investigamos más”.
Las aplicaciones son las siguientes: Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, y Chicken Shoot Galaxy Invaders.
De acuerdo con los especialistas, lo observado hasta el momento es relativamente benigno: el servidor de comando y control solamente empuja una lista de iconos en un contenedor de espacio publicitario en la esquina superior derecha de la aplicación.
En el momento en que el usuario abre el juego, el servidor ordena a la aplicación los iconos y enlaces que deben servir al usuario. Sin embargo, se dieron cuenta que algunas aplicaciones datos de direcciones IP y, en algunos casos, datos de ubicación, al servidor de control y comando de Golduck.
Verificaciones
TechCrunch verificó sus reclamos, ejecutando las aplicaciones en un iPhone limpio a través de un proxy, permitiendo rastrear a dónde van los datos. Se mostró que la aplicación entrega al servidor Golduck malicioso información sobre la aplicación, versión, tipo de dispositivo y dirección IP del dispositivo, incluida la cantidad de anuncios que se mostraron en el teléfono.
Los investigadores detallaron que las aplicaciones están repletas de publicidad, posiblemente con el fin de hacer dinero rápido. Sin embargo, la preocupación mayor es que la comunicación entre la aplicación y el servidor malicioso conocido pueda abrir la aplicación, y el dispositivo, a comandos maliciosos en un futuro.
“Las aplicaciones en sí mismas no están comprometidas técnicamente; si bien no contienen ningún código malicioso, la puerta trasera que abren presenta un riesgo de exposición que la gente no desean tomar.“Un pirata informático podría usar fácilmente el espacio de publicidad para mostrar un enlace que redirige al usuario y lo engaña para que instale un perfil de aprovisionamiento o un nuevo certificado que finalmente permita la instalación de una aplicación más maliciosa”, profundizaron los investigadores.
Alerta
Si el servidor envía comandos maliciosos a usuarios de Android, es muy probable que los usuarios de iPhone sean la próxima víctima.
TechCrunch envió la lista de aplicaciones a la empresa Sensor Tower, que estimó la instalación de las 14 aplicaciones por casi un millón de veces desde su lanzamiento, sin tomar en cuenta las descargas o instalaciones repetidas en diferentes dispositivos.
Al intentar establecer contacto con los fabricantes de la aplicación, varios enlaces de la App Store estaban muertos o eran páginas con políticas de privacidad repetidas pero sin información de contacto. El registrante en el dominio de Golduck parece ser falso, junto con otros dominios asociados con Golduck, que a menudo tienen diferentes nombres y direcciones de correo electrónico.
Apple no respondió ante las consultas realizadas por los especialistas de Wandera, y al parecer las aplicaciones aún están disponibles para su descarga desde la App Store, aunque todas ahora muestran una leyenda mencionando que “actualmente no están disponibles en la tienda de EU”.
