資訊安全 行動安全 手機 行動 安全 病毒 防毒 資安 策略

行動惡意軟體誕生10周年 回顧手機病毒史

2014-05-02
2014是全球首個行動電話惡意軟體Cabir誕生十周年。Fortinet的FortiGuard Labs為此回顧過去10年來的記錄,探究各個時期行動威脅的發展與其代表的意義。
過渡時期

在這兩年期間,儘管在行動威脅的演化進程上有所停滯,但在使用者不知情的狀況下,撥打加值付費服務的惡意軟體數量持續增加。

行動Botnet現身

在2009年,Fortinet發現了Yxes(來自Sexy的變字)這個惡意軟體,它隱身在看似合法的Sexy View應用程式裡。Yxes的特點在於它是Symbian認證的應用程式,顯然它利用了Symbian體系的漏洞,將惡意軟體寫在經認證的應用程式裡頭。

一旦遭到感染,受害者的行動電話會寄發自己的通訊錄到一個中控伺服器,接著這個伺服器會寄送帶有URL位址的簡訊給每一位連絡人。如果有人按下簡訊裡的連結,就會下載並安裝惡意軟體,整個過程就會一直重複下去。Yxes的散佈地區主要在亞洲,2009年至少有10萬台設備遭到感染。

Yxes是行動惡意軟體演化的另一個轉捩點有幾個原因。首先,它被視為是第一個鎖定Symbian 9作業系統攻擊的惡意軟體。第二,它是第一個透過發送簡訊,並在使用者未察覺的情況下自行連網的惡意軟體,這在演進上是一項技術創新。最後,而且可能是最重要的是,它採用混合模式散佈自己,並與遠端伺服器通訊,讓防毒分析師驚覺:這可能是新型態病毒——行動殭屍網路的預警。後續的發展確實也證實當時的看法是正確的。

行動惡意軟體的工業革命

2010年是行動惡意軟體歷史的一個重要里程碑。主事者由區域性的個人或小團體,轉變為大規模有組織的網路罪犯,並且以全球為範疇在操控。此時是行動惡意軟體工業化時代的開始,攻擊者開始明白行動惡意軟體可以輕易為他們帶來金錢,決定更積極地利用它。

2010年同時也出現了第一個源自PC的行動惡意軟體。Zitmo(Zeus in the Mobile之意)是第一個衍生自Zeus的行動惡意軟體,Zeus生存於PC世界,專門攻擊銀行業,是非常可怕的木馬程式。而Zitmo能與Zeus協同合作,在網路銀行的交易中繞過簡訊的使用,藉以規避安全程序。

同年還有其它備受注目的惡意軟體,最有名的則是Geinimi。Geinmi是第一個設計用來攻擊Android平台的惡意軟體,而且遭感染的手機還會成為殭屍網路的一員。手機如果不小心安裝了這個惡意軟體,就會自行與遠端伺服器通訊,並執行各種命令,例如安裝與解除某應用程式,進一步有效地控制該手機。

Android惡意軟體和行動殭屍網路的出現,無疑是2010年的代表性事件。然而,有組織的網路罪犯持續增加,並利用行動惡意軟體獲取實質經濟利益,則更受到公眾矚目。

Android、Android還是Android

隨著鎖定Android的攻擊持續增加,2011年則是見到威力更為強大的惡意軟體。當時出現的DroidKungFu,直至今日仍被視為是技術最先進的病毒之一,並且擁有許多特點。這個惡意軟體包含一個著名的攻擊,能root手機取得權限,成為手機的管理者(uDev或Rage Against The Cage)並在完全掌控手機後,與命令伺服器連繫。它同時也能躲避防毒軟體的偵測,是網路罪犯和防毒研發團隊兩者之間,持續進行的戰爭中第一次的交戰。如同以往大多數的病毒一樣,DroidKungFu能自第三方非正式的應用程式商店中取得,並且在中國有許多的論壇。


▲用戶不斷增加的Android,始終是行動惡意軟體鎖定的對象。

Plankton也同樣在2011年登上舞台,目前仍是最廣為流竄的Android惡意軟體之一。即使是在Google Play這樣的官方Android應用程式商店,Plankton也隱藏在為數眾多的應用程式中,化身為激進版的廣告軟體,下載惹人厭的廣告至手機,或是修改手機瀏覽器的首頁,有時則是自行增添新的捷徑或書籤至行動電話裡。

Plankton完全是屬於大聯盟的等級。它名列全類別中的十大最常見病毒,能與頂級的PC病毒平起平坐。以往行動惡意軟體落後它PC同類的時代已經結束,光是Plankton,就已感染了超過5百萬台的設備。

新的攻擊模式

2013年的重要事件是FakeDefend的出現,它是第一個Android手機上的勒索軟體。 FakeDefend會偽裝成防毒軟體,運作的方法就和PC上的偽防毒軟體一樣。它會鎖死受害者的手機,然後要求給付贖金(例如付出高額的防毒軟體訂閱費用),才能取回手機中的資料。不過,付出贖金並不能把手機修好,仍必須回復原廠設定值才能恢復正常。

Chuli也同樣出現在2013年,它是第一個包含Android惡意軟體的針對性攻擊。2013年3月11日至13日在日內瓦舉行世界維吾爾大會的一個活動人士,其電子郵件被用來攻擊其他的西藏人權主義者和擁護者的帳戶。這些寄自被駭帳戶的郵件裡,夾帶著Chuli。它被設計用來蒐集資訊,例如簡訊、SIM卡和手機裡的連絡人、位置資料,並且能記錄受害者的通話。所有資訊都會被傳送至遠端伺服器。

2013年可視為是行動攻擊轉為專業的一年。更多針對性攻擊、更為精巧的惡意軟體,如FakeDefend或Chuli,它們的攻擊案例都可以和我們在PC世界已知的威脅相提並論。而且,像Chuli這類的攻擊,會讓我們很合理的想問,我們是否正進入行動網路戰爭的年代?政府或其他國家機構是否開始與這些攻擊來源有所關連?

接下來呢?

在網路犯罪的領域,很難去預測明年甚或未來10年會發生什麼事。行動威脅在過去10年已有驚人的變化,網路犯罪團體也不斷地在尋找新的巧妙方法,來利用這些攻擊達到其唯一目的——獲取金錢。


▲針對手機的惡意軟體愈來愈專業化,已可和PC世界的威脅相提並論。

然而,隨著智慧手機和其他行動技術的爆炸性成長,一個合理的預測是:行動和PC惡意軟體將會匯流融合。當所有的事物都行動化之後,所有的惡意軟體也將全都變成行動化。

除了行動設備之外,未來網路罪犯最有可能的攻擊標的,將會是物聯網(Internet of Things,IoT)。儘管很難去預測未來5年會連上網路的物件數量是多少,但根據Gartner估計,2020年將會有300億個物品連網,IDC則是預估會有2,120億個。隨著愈來愈多製造商和服務供應商利用這些物品連網的新契機獲利,因此假設這些新產品的開發過程尚未考慮到安全性是合理的。物聯網是否將成為網路罪犯接下來覬覦的寶藏?值得密切觀察。

<本文作者:Axelle Apvrille,現任Fortinet資深行動威脅研究員,專注於獵捕行動裝置的惡意軟體,並研究它們的運作方法與防範之道。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!