Se descubrió que más de una docena de aplicaciones iOS infectadas con malware troyano clicker y distribuidas a través de la App Store de Apple realizan tareas relacionadas con el fraude publicitario en segundo plano, utilizando los servidores de comando y control de una campaña similar de fraude publicitario de Android.
El módulo de malware incluido con las 17 aplicaciones de iOS está diseñado para comunicarse con un servidor de comando y control (C2) previamente conocido y simula clics de anuncios y abre páginas web en segundo plano sin la necesidad de interacción del usuario, llevando a cabo una campaña de fraude publicitario al abusar de todos los iPhones, iPads y iPods se compromete.
"El objetivo de la mayoría de los troyanos con clicker es generar ingresos para el atacante mediante pago por clic al inflar el tráfico del sitio web", explican los investigadores de Wandera Threat Labs.
"También se pueden usar para drenar el presupuesto de un competidor al inflar artificialmente el saldo adeudado a la red publicitaria".
Como descubrió la investigación de Wandera, las aplicaciones de Android no muestran ningún comportamiento malicioso relacionado con los servidores C2 utilizados por las aplicaciones de iOS del desarrollador, pero "las aplicaciones de Android de AppAspect una vez se infectaron en el pasado y se eliminaron de la tienda" para volver a publicarse en una fecha posterior .
En este punto, los investigadores dicen que no está claro si el código malicioso fue agregado intencionalmente por el desarrollador de las aplicaciones o involuntariamente después de incluir un marco de terceros comprometido.
Diseñado para fraude publicitario
Las aplicaciones maliciosas de iOS se distribuyeron como parte de una amplia gama de categorías que incluyen, entre otras, la productividad, las utilidades de la plataforma y los viajes, como un directorio de contactos, un velocímetro o una calculadora de IMC.
"Probamos todas las aplicaciones iTunes gratuitas del desarrollador y los resultados muestran que 17 de las 35 aplicaciones gratuitas están infectadas con la misma funcionalidad de clicker malicioso y se están comunicando con el mismo servidor C&C", dijeron los investigadores.
Los investigadores de Wandera también compartieron la lista completa de aplicaciones de iOS que se sabe que están infectadas con este módulo troyano clicker; todas han sido eliminadas de la App Store, excepto My Train Info - IRCTC y PNR:
Conectado a una campaña de fraude publicitario de Android
El servidor C2 utilizado por este módulo troyano clicker de iOS para comunicarse con sus operadores fue descubierto por primera vez por los investigadores de Dr. Web como parte de una campaña de troyanos clicker de Android muy similar.
Como informaron en ese momento, el malware troyano clicker de Android se incluyó con más de 33 aplicaciones distribuidas a través de Google Play Store y fue descargado por los usuarios más de 100 millones de veces antes de que las aplicaciones fueran eliminadas de la tienda; desafortunadamente, la App Store de Apple no proporciona estadísticas de instalación de la aplicación, por lo que es imposible saber cuántas personas usaron sus dispositivos iOS en esta campaña de fraude publicitario.
El troyano denominado Android.Click.312.origin se activaría 8 horas después del lanzamiento de las aplicaciones para evadir la detección. Otra variante llamada Android.Click.313.origin fue descubierta más tarde por los investigadores del Dr. Web al analizar la campaña maliciosa.
Una vez ejecutado en los dispositivos Android comprometidos, el malware comenzaría a recopilar información del sistema como la versión del sistema operativo, el fabricante y modelo del dispositivo, el país de residencia del usuario, el tipo de conexión a Internet, la zona horaria del usuario y la información sobre la aplicación con el clicker Módulo troyano.
La información se archivó y se entregó al servidor C2 que respondió con información sobre los comandos y los nuevos módulos que se ejecutarán e instalarán.
El equipo de investigación de Doctor Web aconseja a los desarrolladores que "elijan responsablemente módulos para monetizar sus aplicaciones y no integren SDK dudosos en su software".
Wandera le dijo a Bleeping Computer que las campañas de fraude publicitario de iOS y Android comparten la misma infraestructura C2 y que actualmente están investigando IOC adicionales que surgieron como resultado de esta investigación y publicarán un seguimiento.
Protege tu dispositivo móvil y tus datos
"Este descubrimiento es el último de una serie de malas aplicaciones que aparecen en una tienda oficial de aplicaciones móviles y otro punto de prueba de que el malware impacta el ecosistema iOS", concluyeron los investigadores de Wandera.
"El malware móvil sigue siendo una de las amenazas menos frecuentes en la naturaleza, pero vemos que se usa más en escenarios de ataque dirigido".
Se aconseja a los usuarios que comprueben si las aplicaciones que instalan provienen de desarrolladores legítimos y tienen buenas críticas y que siempre se aseguren de no solicitar más permisos para poder funcionar correctamente.
Wandera también recomienda instalar una solución de seguridad móvil que impida que las aplicaciones maliciosas se comuniquen con sus servidores C2 para proteger sus datos de ser cosechados y robados.
El uso de software de seguridad para proteger su dispositivo también puede ayudar a limitar drásticamente la funcionalidad de un malware y eliminar al menos parte de su potencial destructivo.
No olvides Compartir...
0 Comentarios