ADVERTISEMENT
行動裝置資安公司Lacoon Mobile Security的研究團隊,發現了名為Xsser mRAT的惡意程式,這款程式不但會尋管道入侵iPhone與iPad等Apple推出的行動裝置,還會竊取使用者的電話簿、通聯記錄、位置等資訊。有趣 的是,它以透過假冒的協助佔中訊息的方式,在即時通訊軟體中進行傳播。
疑竊取佔中人士個人資料
根據香港媒體Winandmac香港版網站,Xsser mRAT這款惡意程式會「假扮是協助佔中的訊息,在WhatsApp中散播開去」。Winandmac香港版本身也報導許多佔中新聞,原則上消息應該是可靠的。
另一方面行動裝置資安公司Lacoon Mobile Security也提出了相關報導,指出Xsser mRAT將會竊取使用者的個人資料,其中包括:
ADVERTISEMENT
- 電話簿
- 簡訊
- 通話記錄
- 位置資訊(以手機定位為基礎)
- 照片
- 作業系統資料
- 騰訊相關App資料
- iOS密碼與認證資料(AppleID、E-Mail密碼以及其他)
- 手機識別資訊(Phones GSM identities)
在這敏感的時機點,Xsser mRAT的出現,很難讓人不和無時不刻都在進行網路監控的北京政府聯想在一起。由於北京政府擁有強大且無視人權的國家機器,所以上至電信商、下至App,都有可能收集甚至竊取使用者的個人資料,再配合警力、軍力「依法行政」,因次對於參加佔中活動的人士來說,通訊保密不可不慎。
僅越獄iDevice會中標
Xsser mRAT雖然不是非常革命性的惡意程式,但是我們卻可以從中看到攻擊者如何運用「社群」的力量來打壓網路社群本身。攻擊者成功地運用了網路社群的相關性,騙取受害者的信任,以這次佔中活動為例,攻擊者透過發送佔中訊息,就可以吸引著相同政治理念的示威者跳下陷阱,如果在其他如體育、音樂表演等活動,也可以利用類似的手法誘騙受害者,讓受害者在不自覺的情況下安裝惡意程式,自行幫攻擊者打開後門,讓自己曝露於風險之下。
根據Lacoon的調查,Xsser mRAT與先前發現的Android惡意程式頗有淵源,兩者共用相同的CnC server(控制殭屍網路的伺服器)。該惡意程式也是偽裝為支持佔中的訊息,以「Check out this Android app designed by Code4HK, group of activist coders, for the coordination of Occupy Central」訊息誘騙使用者安裝。
ADVERTISEMENT
然而iOS的安全性本身比Android高,一般使用者無法不透過Apple官方App Store安裝App,Xsser mRAT則是透過越獄之後安裝的Cydia第三方網路商店做為途徑,加入在其中加入惡意程式的軟體源,然後下載、安裝.deb封裝檔案,當惡意程式安裝到裝置之後,便會自動以系統服務的方式執行,並長駐於系統背景,一旦裝置開機後就會開始竊取資料。從Lacoon所揭發的資訊看來,目前Xsser mRAT仍無法影響未越獄的iDevice。
▲Xsser mRAT會在感染後自行下載、安裝檔案,並自動於背景執行。(圖片來源)
ADVERTISEMENT
▲Lacoon也發現,Xsser mRAT所使用的軟體源無法從電腦登入,只能以iDevice登入。(圖片來源)
ADVERTISEMENT
▲Cydia為iDevice的第三方網路商店,需要越獄後才能使用。
▲Cydia中的軟體源可以想像成不同的「軟體商店」,透過添加軟體源可以取得不同網路商店提供的程式,而Xsser mRAT則是是用自己的軟體源。
延伸閱讀:
ADVERTISEMENT