Em dezembro de 2017, alguns sites publicaram a descoberta de um malware em jogos para Android no Google Play que, depois de instalado, baixava e instalava desde um servidor "Golduck" um arquivo APK malicioso. A ameaça, além de mostrar publicidade e enviar mensagens SMS Premium para os contatos, tinha a capacidade de controlar os computadores, permitindo que enviassem sigilosamente códigos maliciosos para o dispositivo infectado, principalmente para aqueles que tinham o acesso root habilitado.

No entanto, recentemente, pesquisadores de Wandera descobriram 14 aplicativos para iPhone que se comunicam secretamente com servidores associados ao Golduck. Tratam-se de jogos clássicos que se comunicam com o mesmo servidor C&C utilizado pelo malware Golduck.

Como os pesquisadores explicaram para o portal TechCrunch, o domínio estava sendo monitorado, já que o mesmo havia sido utilizado anteriormente para distribuir malware. No entanto, os pesquisadores decidiram investigar o domínio quando começaram a ver a comunicação entre os dispositivos iOS e o servidor.

Os apps de jogos envolvidos são:

  • Commando Metal: Classic Contra
  • Super Pentron Adventure: Super Hard
  • Classic Tank vs Super Bomber
  • Super Adventure of Maritron
  • Roy Adventure Troll Game
  • Trap Dungeons: Super Adventure
  • Bounce Classic Legend
  • Block Game
  • Classic Bomber: Super Legend
  • Brain It On: Stickman Physics
  • Bomber Game: Classic Bomberman
  • Classic Brick – Retro Block
  • The Climber Brick
  • Chicken Shoot Galaxy Invaders

Embora os pesquisadores afirmem que os apps em si não representam uma ameaça, eles oferecem ao invasor a possibilidade de acessar o dispositivo do usuário que os instalaram.

Por exemplo, no caso do Block Game, o jogo oferece publicidade por meio da rede do Google AdMob, que é ativada quando o usuário pressiona determinados campos, como o botão de pausa. No entanto, existem áreas secundárias que também ativam a publicidade, mas não estão relacionadas à Admob, mas estão associadas ao conhecido servidor malicioso do Golduck. Além disso, ao pressionar essa área, informações como endereço IP, dados relacionados ao local, tipo de dispositivo e versão são enviadas ao servidor C&C, além da quantidade de publicidade exibida no dispositivo.

O TechCrunch realizou um teste e instalou um dos apps de jogos em um iPhone para poder monitorar os dados enviados.

Até o momento, os aplicativos estão exibindo apenas publicidade, mas os pesquisadores destacaram para o portal que há certa preocupação com o risco latente de que se aproveitem dessa funcionalidade de backdoor que deixa o app com o servidor malicioso para enviar algum tipo de comando que supõe um ameaça mais séria.

Estima-se que os 14 aplicativos foram baixados cerca de um milhão de vezes desde que foram publicados. Atualmente, os apps não estão disponíveis na App Store, pois os links estão inativos.

Como recomendação para os usuários, sempre aconselhamos realizar o download de aplicativos através de lojas oficiais. Mas, como vemos neste caso e também em outras oportunidades com o Google Play, os ciberciminosos conseguem publicar aplicativos maliciosos mesmo em lojas oficiais. Portanto, é fundamental tomar precauções extras, como verificar a quantidade de downloads, comentários e classificação do app, além de revisar as permissões solicitadas e concedidas para o aplicativo antes de instalá-lo.