Se descubrió que más de una docena de aplicaciones iOS en el App Store están infectadas con un malware que realiza acciones relacionadas con el fraude publicitario en segundo plano, utilizando los servidores de comando y control de una campaña similar de fraude publicitario de Android.
El módulo de malware incluido con las 17 aplicaciones de iOS está diseñado para comunicarse con un servidor de comando y control (C2) previamente conocido y simula clics de anuncios y abre páginas web en segundo plano sin la necesidad de interacción del usuario, llevando a cabo una campaña de fraude publicitario al abusar de todos los dispositivos móviles de Apple: iPhones, iPads y iPods.
Según explican los investigadores de Wandera Threat Labs:
“El objetivo de la mayoría de los troyanos con clicker es generar ingresos para el atacante mediante pago por clic al inflar el tráfico del sitio web.
También se pueden usar para drenar el presupuesto de un competidor inflando artificialmente el saldo adeudado a la red publicitaria“.
Todas estas aplicaciones maliciosas son creadas por AppAspect Technologies Pvt Ltd., con sede en India. Un desarrollador que publicó un total de 51 aplicaciones en Apple App Store y también tiene 28 aplicaciones de Android en Google Play Store.
Como descubrió la investigación de Wandera, las aplicaciones de Android no muestran ningún comportamiento malicioso relacionado con los servidores C2 utilizados por las aplicaciones de iOS, pero las aplicaciones Android de AppAspect una vez se infectaron en el pasado y se eliminaron de la tienda para volver a publicarse en una fecha posterior .
En este punto, los investigadores dicen que no está claro si el código malicioso fue agregado intencionalmente por los desarrolladores de las aplicaciones o involuntariamente después de incluir un framework de terceros que está comprometido.
Las aplicaciones maliciosas de iOS se distribuyeron como parte de una amplia gama de categorías que incluyen, entre otras, la productividad, las utilidades de la plataforma y los viajes, como un directorio de contactos, un velocímetro o una calculadora de masa corporal.
Según dieron a conocer los investigadores: “Probamos todas las aplicaciones iTunes gratuitas del desarrollador y los resultados muestran que 17 de las 35 aplicaciones gratuitas están infectadas con la misma funcionalidad de clicker malicioso y se están comunicando con el mismo servidor C&C“.
El servidor C2 utilizado por este módulo troyano de clicker en anincios de iOS para comunicarse con sus operadores fue descubierto por primera vez por los investigadores de Dr. Web como parte de una campaña de troyanos clicker de Android muy similar.
Como informaron en ese momento, el malware troyano clicker de Android estaba incluido en más de 33 aplicaciones distribuidas a través de Google Play Store y fue descargado por los usuarios más de 100 millones de veces antes de que las aplicaciones fueran eliminadas de la tienda.
El troyano denominado Android.Click.312.origin se activaría 8 horas después del lanzamiento de las aplicaciones para evadir la detección. Otra variante llamada Android.Click.313.origin fue descubierta más tarde por los investigadores del Dr. Web al analizar la campaña maliciosa.
Una vez ejecutado en los dispositivos Android comprometidos, el malware comenzaría a recopilar información del sistema como la versión del sistema operativo, el fabricante y modelo del dispositivo, el país de residencia del usuario, el tipo de conexión a Internet, la zona horaria del usuario.
La información archivada, se entrega al servidor C2 que respondió con información sobre los comandos y los nuevos módulos que se ejecutarán e instalarán.
El equipo de investigación de Doctor Web recomendó a los desarrolladores que elijan responsablemente qué módulos usan para la monetización de sus aplicaciones y no integren un SDK de dudosa procedencia en su software.
Se aconseja a los usuarios de aplicaciones móviles, ya sean estas Android o iOS, que comprueben si las aplicaciones que instalan provienen de desarrolladores legítimos y que tienen buenas críticas y que siempre se aseguren de que no solicitan más permisos de los necesarios para poder funcionar correctamente.
Los investigadores de Wandera también recomienda instalar una solución de seguridad móvil que impida que las aplicaciones maliciosas se comuniquen con sus servidores C2 para proteger sus datos de ser robados.
El uso de software de seguridad para proteger su dispositivo también puede ayudar a limitar drásticamente la funcionalidad de un malware y eliminar al menos parte de su potencial destructivo.