駭客創意:流動應用程式共謀進行入侵!Pinkslipbot 木馬程式以新特徵捲土從來?
駭客創意:流動應用程式共謀進行入侵!Pinkslipbot 木馬程式以新特徵捲土從來?
多年來流動應用程式共謀被普遍認為只是理論上的威脅,但實際它已通過利用流動操作系統內常見的應用程式互通功能,開展了連串惡意活動。這些操作系統包含多種技術將應用程式在沙箱中隔離,限制它們的活動,並非常精細地控制其權限。然而,流動平台同時間將跨越沙箱限制的應用程式相互通訊方式完全公開。利用這些應用程式互通功能串通應用程式,便可令應用程式協作進行惡意活動。
而 Intel Security 今天在最新發表的 McAfee Labs 2016 年 6 月份威脅報告之中亦分析出流動應用程式共謀的動態,當中網絡罪犯透過操控兩個或以上的應用程式來協調攻擊智能手機用戶。而針對這類行為,有關方面分別觀察 21 個應用的 5000 多個版本的活動,這些應用程式主要是提供用戶服務,如流動視頻串流、健康監測及旅遊計劃。不幸地這 21 個流動應用程式的用戶未有定期執行重要的軟件更新,以至較舊版本能夠被強徵以進行惡意活動。
流動應用程式共謀能造成三種威脅:
訊息盜竊:能存取敏感或機密訊息的應用有意或無意地與另一個或更多的應用程式串通,將訊息從設備向外發放。
財務盜竊:應用程式將訊息發送到另一個能執行財務交易或使用金融 API 的應用程式,來實現透類似的盜竊目標。
濫用服務:應用程式操控系統服務,從另一個或以上的應用程式接收訊息或指令來協調進行各種惡意活動。
流動應用程式共謀需要至少一個應用程式擁有權限以取得保密訊息或服務,以及另一個雖沒此權限但能從設備對外連接的應用程式,並且能夠互相溝通。其中一個應用程式可能因為數據意外洩漏,或內含惡意程式庫或軟件開發工具包,在有意或無意的情況下串謀。這些應用程式或會利用一個共享空間 (可共同讀取文件)來交換相關權限的訊息,及決定哪一應用程式最適合作為執行遠程指令的切入點 。
另報告亦提出多項用戶方案以盡量減低流動應用程式共謀,包括只從可信來源下載流動應用程式、避免使用植入了廣告的應用程式、切勿將流動設備「越獄」(jailbreak)、及最重要的是經常保持操作系統及應用程式軟件更新。
另外,報告中還載述了 W32/Pinkslipbot 木馬程式(亦稱 Qakbot、Akbot、QBot)的回歸。這包含類似蠕蟲功能的後門木馬程式最先於 2007 年出現,隨即被公認為一個具高度破壞性及感染能力的惡意軟件系列,能竊取銀行認證、電郵密碼和數碼證書。Pinkslipbot 惡意程式在 2015 年後期再度出現並有更強攻擊力,例如對抗分析及多層加密,以阻止惡意軟件研究員對它進行剖析和逆向工程。
最後,附上有關 2016 Q1 的威脅統計讓各位參考。
- 勒索軟件:新的勒索軟件樣本數目在此季度上升 24%,是因為有使用相對低端技術的罪犯持續進入網絡勒索範疇。這趨勢是漏洞攻擊工具被廣泛採用來部署惡意軟件的結果。
- 流動惡意軟件:新流動惡意軟件樣本在 2016 年第一季比上季度增長 17%。總流動惡意軟件樣本較上季增長 23%,比去年同期則上升 113%。
- Mac OS 惡意軟件:MAC OS 惡意軟件在第一季迅速增長,主要是由於 VSearch 廣告軟件增加。雖然 Mac OS 樣本的絕對數量仍然偏低,樣本總數比上季增加 68%,比去年同期上升 559%。
- 宏觀惡意軟件:宏觀惡意軟件從 2015 開始持續處於增長軌跡,新樣本的季度升幅為 42%。宏觀惡意軟件新品種繼續是主要透過社會工程收集訊息,再以看似正常的複雜垃圾郵件活動攻擊企業網絡。
- Gamut 殭屍網絡:Gamut 殭屍網絡成為第一季傳播率最高的垃圾郵件殭屍網絡,數量增加近 50%。盛行的垃圾郵件活動利用快速致富方案及仿冒藥品供應誘騙用戶連接。Kelihos 是 2015 年第四季最大的垃圾郵件殭屍網絡,廣泛散佈惡意軟件,在此季下滑至第四位。