根据Wandera Threat Labs研究人员发现有十多个iOS应用程序感染了Clicker Trojan(点击木马)恶意代码并在苹果的应用商店传播。其使用和安卓广告欺诈活动相似的命令和控制服务器,暗自进行广告欺诈活动。
捆绑17个iOS应用程序的恶意代码组件,能够与现有的命令和控制(C2)服务器进行连接,并且它可以模拟广告点击,在后台打开网页,而无需用户参与,利用所有被感染的iPhone、iPad和iPod,从而开展了一次广告欺诈活动。
Wandera Threat Labs的研究人员解释说:“大多数Clicker Trojan的目的是虚假增加网站访问量,为按点击付费的攻击者增加收入。他们还可以人为地增加竞争对手的广告网络欠费来消耗对手的预算。”
所有这些感染的应用程序都出自一家总部位于印度的名为AppAspect Technologies Pvt的公司。这家软件开发公司已经在苹果应用商店中发布了51个应用程序,并且在谷歌应用商店中也拥有28个安卓应用程序。
此次iOS应用程序开发人员使用同一C2服务器,但安卓应用程序却没有表现出任何恶意行为。然而,AppAspect的安卓应用程序过去曾经被感染并从商店中删除,将在以后重新发布。
目前,研究人员尚不清楚恶意代码是由应用程序的开发人员有意添加还是在加入受感染的第三方框架后无意添加的。
目的在于广告欺诈
恶意软件分门别类,多种多样,并广泛传播,其中包括但不限于平台实用工具、旅行、通讯录、速度表或BMI计算器之类的软件。
研究人员说:“我们对所有免费iTunes应用程序进行了测试,结果表明,在35个免费应用程序中,有17个都感染了相同的恶意点击程序,并且连接同一个C&C服务器。”
Wandera的研究人员还分享了目前已知的感染Clicker Trojan的iOS应用的完整列表。除“My Train Info – IRCTC和PNR”外,所有这些均已从应用商店中删除:
安卓广告欺诈活动
研究人员首次发现iOS Clicker Trojan程序使用的C2服务器,可以连接到背后的攻击者,和安卓Clicker Trojan活动手法如出一辙。谷歌应用商店超过33个应用程序捆绑了安卓Clicker Trojan恶意软件,在从商店中删除之前,已下载了超过1亿次。而如今,苹果应用商店不提供应用安装统计信息,因此无法知道在这次的广告欺诈活动中感染了多少人的iOS设备。
保护个人移动设备和数据
Wandera的研究人员总结,这是应用商店中针对一系列恶意应用程序的最新发现,也证明了恶意软件确实会影响iOS生态系统。在正常的网络环境中,移动恶意软件仍然是鲜为人知的威胁之一,但在具有针对性的攻击场景中,使用率更高。建议用户检查所安装的应用程序是否合法,并具有良好的评价,并确保正常运行时,可以不要求更多的权限。
Wandera还建议安装移动安全解决方案,该解决方案将阻止恶意应用与其C2服务器连接,以保护个人数据免遭窃取。此外,使用安全软件可以保护用户设备,还可以限制恶意软件的功能,防止某些潜在威胁。