針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

行動裝置資安公司Lacoon Mobile Security的研究團隊,發現了名為Xsser mRAT的惡意程式,這款程式不但會尋管道入侵iPhone與iPad等Apple推出的行動裝置,還會竊取使用者的電話簿、通聯記錄、位置等資訊。有趣 的是,它以透過假冒的協助佔中訊息的方式,在即時通訊軟體中進行傳播。

疑竊取佔中人士個人資料

根據香港媒體Winandmac香港版網站報導,Xsser mRAT這款惡意程式會「假扮是協助佔中的訊息,在WhatsApp中散播開去」。Winandmac香港版本身也報導許多佔中新聞,原則上消息應該是可靠的。

另一方面行動裝置資安公司Lacoon Mobile Security也提出了相關報導,指出Xsser mRAT將會竊取使用者的個人資料,其中包括:

 

  • 電話簿
  • 簡訊
  • 通話記錄
  • 位置資訊(以手機定位為基礎)
  • 照片
  • 作業系統資料
  • 騰訊相關App資料
  • iOS密碼與認證資料(AppleID、E-Mail密碼以及其他)
  • 手機識別資訊(Phones GSM identities)

 

在這敏感的時機點,Xsser mRAT的出現,很難讓人不和無時不刻都在進行網路監控的北京政府聯想在一起。由於北京政府擁有強大且無視人權的國家機器,所以上至電信商、下至App,都有可能收集甚至竊取使用者的個人資料,再配合警力、軍力「依法行政」,因次對於參加佔中活動的人士來說,通訊保密不可不慎。

僅越獄iDevice會中標

Xsser mRAT雖然不是非常革命性的惡意程式,但是我們卻可以從中看到攻擊者如何運用「社群」的力量來打壓網路社群本身。攻擊者成功地運用了網路社群的相關性,騙取受害者的信任,以這次佔中活動為例,攻擊者透過發送佔中訊息,就可以吸引著相同政治理念的示威者跳下陷阱,如果在其他如體育、音樂表演等活動,也可以利用類似的手法誘騙受害者,讓受害者在不自覺的情況下安裝惡意程式,自行幫攻擊者打開後門,讓自己曝露於風險之下。

根據Lacoon的調查,Xsser mRAT與先前發現的Android惡意程式頗有淵源,兩者共用相同的CnC server(控制殭屍網路的伺服器)。該惡意程式也是偽裝為支持佔中的訊息,以「Check out this Android app designed by Code4HK, group of activist coders,  for the coordination of Occupy Central」訊息誘騙使用者安裝。

然而iOS的安全性本身比Android高,一般使用者無法不透過Apple官方App Store安裝App,Xsser mRAT則是透過越獄之後安裝的Cydia第三方網路商店做為途徑,加入在其中加入惡意程式的軟體源,然後下載、安裝.deb封裝檔案,當惡意程式安裝到裝置之後,便會自動以系統服務的方式執行,並長駐於系統背景,一旦裝置開機後就會開始竊取資料。從Lacoon所揭發的資訊看來,目前Xsser mRAT仍無法影響未越獄的iDevice。

針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

▲Xsser mRAT會在感染後自行下載、安裝檔案,並自動於背景執行。(圖片來源

針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

▲Lacoon也發現,Xsser mRAT所使用的軟體源無法從電腦登入,只能以iDevice登入。(圖片來源

針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

▲Cydia為iDevice的第三方網路商店,需要越獄後才能使用。

針對佔中人士,iOS 惡意程式 Xsser mRAT 來勢洶洶

▲Cydia中的軟體源可以想像成不同的「軟體商店」,透過添加軟體源可以取得不同網路商店提供的程式,而Xsser mRAT則是是用自己的軟體源。

延伸閱讀:

當香港手機網路訊號中斷,FireChat這款「沒有訊號也能聯繫」的APP就此爆紅

中國政府擴建防火長城,香港佔中普選成箭靶

中國傳對 Yahoo 發動中間人攻擊,試圖封鎖香港佔中消息

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
ulyssesric
1.  ulyssesric (發表於 2014年10月03日 16:53)
我對於把 Xsser mRAT 稱作是一個「惡意程式」有點意見。
這次大規模惡意攻擊事件主要分成兩部分,
第一是利用網路社群散步的URL導向攻擊,
第二是利用 Cydia 植入的惡意程式。
雖然是植入的惡意程式在竊取、攔截、塗改使用者手機資訊,
但是只靠那個惡意程式本身並不足以傳佈,
後面還是要有伺服器在。

XSSER 是指「跨站 Script 攻擊」,
主要是針對目前廣泛使用的 Web 形式 app 進行攻擊。
實際攻擊的方法應該是類似先前 Facebook 的 Clickjacking。
國寶大師 李文恩
1人給推

3.  國寶大師 李文恩 (發表於 2014年10月03日 17:31)
※ 引述《ulyssesric》的留言:
> 我對於把 Xsser mRAT 稱作是一個「惡意程式」有點意見。
> 這次大規模惡意攻擊事件主要分成兩部分,
> 第一是利用網路社群散步的URL導向攻擊,
> 第二是利用 Cydia 植入的惡意程式。
> 雖然是植入的惡意程式在竊取、攔截、塗改使用者手機資訊,
> 但是只靠那個惡意程式本身並不足以傳佈,
> 後面還是要有伺服器在。
>
> XSSER 是指「跨站 Script 攻擊」,
> 主要是針對目前廣泛使用的 Web 形式 app 進行攻擊。
> 實際攻擊的方法應該是類似先前 Facebook 的 Clickjacking。
>
這個部分我瞭解,但是被後牽扯的技術面比較複雜
所以在文章中我先把這個部分進行簡化
只列出會被竊取的資料

對於XSS攻擊部分,或許往後可以再以專文介紹
發表回應
謹慎發言,尊重彼此。按此展開留言規則