En diciembre de 2017 algunos sitios publicaban el hallazgo de un malware en juegos para Android en Google Play que una vez instalados descargaban e instalaba desde un servidor “Golduck” un archivo APK malicioso. La amenaza, además de mostrar publicidad y enviar mensajes SMS Premium a los contactos, tenía la capacidad de controlar los equipos al permitir enviar sigilosamente código malicioso hacia el dispositivo infectado, especialmente si tenían habilitado el acceso root.

Sin embargo, recientemente investigadores de Wandera descubrieron 14 aplicaciones para iPhone que de manera encubierta se comunican con servidores asociados a Golduck. Se trata de juegos clásicos que se comunican con el mismo servidor C&C utilizado por el malware Golduck.

Según explicaron los investigadores al portal de TechCrunch, el dominio estaba siendo monitoreado por su uso para distribuir malware en el pasado. Pero decidieron investigar cuando comenzaron a ver comunicación entre dispositivos iOS y el servidor.

Las apps de juegos involucradas son:

  • Commando Metal: Classic Contra
  • Super Pentron Adventure: Super Hard
  • Classic Tank vs Super Bomber
  • Super Adventure of Maritron
  • Roy Adventure Troll Game
  • Trap Dungeons: Super Adventure
  • Bounce Classic Legend
  • Block Game
  • Classic Bomber: Super Legend
  • Brain It On: Stickman Physics
  • Bomber Game: Classic Bomberman
  • Classic Brick – Retro Block
  • The Climber Brick
  • Chicken Shoot Galaxy Invaders

Si bien los investigadores afirman que las apps en sí mismas no representan una amenaza, sí ofrecen a un atacante la posibilidad de acceder al dispositivo del usuario que las tiene instaladas.

Por ejemplo, en el caso de Block Game, el juego ofrece publicidad a través de la red Google Admob, que se activa cuando el usuario presiona ciertos campos, como por ejemplo, el botón de pausa. Sin embargo, existen áreas secundarias que también activan publicidad pero que no están relacionadas con Admob, sino que están asociadas al conocido servidor malicioso de Golduck. Además, al presionar esta área se envía al servidor C&C información como la dirección IP, datos relacionados la ubicación, tipo de dispositivo y versión, además de la cantidad de publicidad desplegada en el dispositivo.

Desde TechCrunch corroboraron esto al probar instalando una de las apps de juegos en un iPhone y monitoreando los datos que son enviados.

Por el momento, las aplicaciones solo están desplegando publicidad, pero los investigadores expresaron al medio que existe preocupación por el riesgo latente de que se aproveche de esta funcionalidad de backdoor que deja la app con el servidor malicioso para enviar algún tipo de comando que suponga una amenaza más seria.

Se estima que las 14 aplicaciones fueron descargadas cerca de un millón de veces desde que fueron publicadas. Actualmente, las apps no están disponibles en App Store ya que los enlaces están caídos.

Como recomendación para los usuarios, aconsejamos siempre descargar aplicaciones de tiendas oficiales. Pero como vemos en este caso y también en otras oportunidades con Google Play, incluso en tiendas oficiales logran infiltrarse apps maliciosas. Por eso, es importante tomar recaudos adicionales, como revisar la cantidad de descargas, comentarios y calificación de la app, además de revisar los permisos que solicita y concedes a la aplicación antes de instalarla.