在蘋果應用商店的17個應用程式中發現iOS Clicker Trojan

• 2019 年 10 月 29 日
• 筆記

Wandera Threat Labs研究人員發現有十多個iOS應用程式感染了Clicker Trojan（點擊木馬）惡意程式碼並在蘋果的應用商店傳播。其使用和Android廣告欺詐活動相似的命令和控制伺服器，暗自進行廣告欺詐活動。

捆綁17個iOS應用程式的惡意程式碼組件，能夠與現有的命令和控制（C2）伺服器進行連接，並且它可以模擬廣告點擊，在後台打開網頁，而無需用戶參與，利用所有被感染的iPhone、iPad和iPod，從而開展了一次廣告欺詐活動。

Wandera Threat Labs的研究人員解釋說：「大多數Clicker Trojan的目的是虛假增加網站訪問量，為按點擊付費的攻擊者增加收入。他們還可以人為地增加競爭對手的廣告網路欠費來消耗對手的預算。」

受感染的應用程式圖標（Wandera）

所有這些感染的應用程式都出自一家總部位於印度的名為AppAspect Technologies Pvt的公司。這家軟體開發公司已經在蘋果應用商店中發布了51個應用程式，並且在Google應用商店中也擁有28個Android應用程式。

此次iOS應用程式開發人員使用同一C2伺服器，但Android應用程式卻沒有表現出任何惡意行為。然而，AppAspect的Android應用程式過去曾經被感染並從商店中刪除，將在以後重新發布。

目前，研究人員尚不清楚惡意程式碼是由應用程式的開發人員有意添加還是在加入受感染的第三方框架後無意添加的。

目的在於廣告欺詐

惡意軟體分門別類，多種多樣，並廣泛傳播，其中包括但不限於平台實用工具、旅行、通訊錄、速度表或BMI計算器之類的軟體。

研究人員說：「我們對所有免費iTunes應用程式進行了測試，結果表明，在35個免費應用程式中，有17個都感染了相同的惡意點擊程式，並且連接同一個C＆C伺服器。」

Wandera的研究人員還分享了目前已知的感染Clicker Trojan的iOS應用的完整列表。除「My Train Info – IRCTC和PNR」外，所有這些均已從應用商店中刪除：

Android廣告欺詐活動

研究人員首次發現iOS Clicker Trojan程式使用的C2伺服器，可以連接到背後的攻擊者，和AndroidClicker Trojan活動手法如出一轍。Google應用商店超過33個應用程式捆綁了AndroidClicker Trojan惡意軟體，在從商店中刪除之前，已下載了超過1億次。而如今，蘋果應用商店不提供應用安裝統計資訊，因此無法知道在這次的廣告欺詐活動中感染了多少人的iOS設備。

該木馬被稱為Android.Click.312.origin，會在啟動應用程式8小時後激活以逃避檢測。隨後，研究人員在分析惡意活動時發現了另一個變體，名為Android.Click.313.origin。

在受感染的Android設備上運行後，惡意軟體能夠收集系統資訊，例如作業系統版本、設備的製造商和型號、用戶的居住國家/地區、互聯網連接類型、用戶的時區以及帶有Clicker的應用程式資訊木馬程式。然後將資訊存檔並傳送到C2伺服器，該伺服器回復有關命令和要執行安裝的新程式資訊。

團隊建議軟體開發人員通過應用程式賺錢並且要為此負責任，而不是將可疑的SDK集成到其軟體中。iOS和Android廣告欺詐活動共享相同的C2基礎架構，目前正在調查因這項研究而浮出水面的其他IOC，並將發布後續報告。

保護個人移動設備和數據

Wandera的研究人員總結，這是應用商店中針對一系列惡意應用程式的最新發現，也證明了惡意軟體確實會影響iOS生態系統。在正常的網路環境中，移動惡意軟體仍然是鮮為人知的威脅之一，但在具有針對性的攻擊場景中，使用率更高。建議用戶檢查所安裝的應用程式是否合法，並具有良好的評價，並確保正常運行時，可以不要求更多的許可權。

Wandera還建議安裝移動安全解決方案，該解決方案將阻止惡意應用與其C2伺服器連接，以保護個人數據免遭竊取。此外，使用安全軟體可以保護用戶設備，還可以限制惡意軟體的功能，防止某些潛在威脅。

*參考來源：bleepingcomputer，Sandra1432編譯，轉載請註明來自FreeBuf.COM