2014是全球首個行動電話惡意軟體Cabir誕生十周年。Fortinet的FortiGuard Labs為此回顧過去10年來的記錄,探究各個時期行動威脅的發展與其代表的意義。
從Cabir和FakeDefend,過去10年來行動惡意軟體的數量爆增。2013年,Fortinet的威脅防護實驗室FortiGuard Labs,每天就發現超過1,300個新的惡意程式,現今總計追蹤超過300個Android惡意軟體家族,以及超過40萬個惡意的Android程式。
除了數量上的絕對成長,另一個值得關注的趨勢是,行動惡意軟體已經循PC惡意軟體相同的演化方式,而且速度更快。隨著智慧手機的快速普及,並且可以輕易地撥打加值付費服務,這使得手機一旦遭到感染,就可以很快地被利用來獲利。此外,智慧手機有許多功能,例如記錄地理位置、麥克風、GPS和相機,這些都可以監控擁有者本身,讓入侵的結果達到一個特別的層次。如同PC惡意軟體一樣,行動惡意軟體也很快地進化,能有效率地產出現金流,並支援各種不法的商業犯罪模式。
|
▲行動惡意軟體十年來的演進過程。(資料來源:Fortinet) |
在以下的年表中,FortiGuard Labs回顧過去10年最具代表性的行動惡意軟體,同時也闡述了它們在威脅演化中所扮演的角色:
初試啼聲
Cabir是全世界第一個行動蠕蟲,專門設計用來感染Nokia Series 60平台的系列手機,被感染的手機會在螢幕上出現「Caribe」這個字。接著這個蠕蟲會透過手機的藍牙系統,尋找接近它的其他裝置(手機、印表機、遊樂器等)來散佈自己。因為它相對較無害的特質,專家相信這個蠕蟲是由稱之為29A的黑客組織為求概念性驗證所開發。
|
▲ 2004年出現的Cabir是全世界第一個手機蠕蟲。 |
MMS的加入
CommWarrior在2005年被發現,接續在Cabir消失之後,並且增加了傳播自身的能力,能同時利用藍牙和MMS。一旦被安裝了這個惡意軟體,CommWarrior便會存取遭感染手機的通訊錄,並且透過MMS服務將自己寄送給每一位連絡人。利用MMS做為傳播方式,引發了一個金錢方面的問題,因為寄出一封MMS訊息,電話擁有者就得付費給電信公司。事實上,當時某些電信業者表示,CommWarrior增加的流量最高達3.5%,因此他們最後也同意償還受害者的損失。
這個病毒同樣也鎖定Symbian 60平台,歐洲、亞洲和北美超過18個國家都有感染報告,估計有11萬5千個行動裝置遭感染,超過45萬封MMS在受害者不知情的狀況下發送。這也是第一次顯示出,行動蠕蟲可以像PC蠕蟲一樣快速地被散佈。
|
▲專攻Symbian 60平台的CommWarrior證明了病毒在手機上也能像PC般快速散佈。 |
當時Symbian是最普及的智慧手機平台,全球有數千萬個使用者。然而,CommWarrior的目標只是儘快廣泛地散佈自己,並非藉由產生的MMS費用來獲利。
跟著錢走
在Cabir和CommWarrior成功地展現能力之後,名為RedBrowser的木馬程式被發現,而且和其前輩有許多重要的不同之處。首先是,它專門用來感染採用J2ME(Java 2 Micro Edition)平台的手機。這個木馬會將自己裝成是一個應用程式,能更容易地瀏覽WAP(Wireless Application Protocol)網站。由於是鎖定攻擊廣受支援的Java,而非設備的作業系統,因此木馬開發者能攻擊的使用者變得更多,不用管電話製造商或作業系統為何。
其次,而且可能是更重要的不同點在於,這個木馬專門設計來利用付費的SMS簡訊加值服務。電話使用者一般會依每則簡訊付出固定費用,這使得行動惡意軟體又進一步演化,成為獲取現金收入的一個方法。
一個惡意軟體要大規模感染不同作業系統的手機,最初被認為是不可能的事,直到RedBrowser出現。以J2ME做為攻擊標的是這段期間重要的里程碑,而以SMS做為獲取現金收入的機制,同樣也是劃時代的歷史事件。