有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

 

有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

自從 Hacking Team 資料外洩的檔案在網路上曝光之後,引發了很多後續效應。除了一些新的 Flash Player 和 IE 漏洞被發現、攻擊、然後修補之外,該公司的工具套件原始碼也遭到外流。尤其是一套精密的惡意程式套件,叫做 RCSAndroid (Android 遠端遙控系統),這是該公司對外販售用來監視特定對象的間諜工具。

根據趨勢科技的研究人員指出,這套間諜工具可說是「目前所見最專業、最精密的 Android 惡意程式之一。」

但RCSAndroid 間諜軟體到底可以做些什麼?受影響的對象為何?哪些裝置會受到影響?我們在下面快速整理了有關 Hacking Team 資料外洩曝光的行動惡意程式套件你該知道的一些重點:

  1. 它可利用前、後鏡頭拍攝照片
    我們的研究人員在分析該行動惡意程式套件外洩的原始程式碼之後發現,RCSAndroid 程式可窺探監視對象的隱私。其功能包括監視 Android 裝置螢幕和剪貼簿中的內容、蒐集網路帳號的密碼和聯絡資訊,還有使用裝置的相機鏡頭及麥克風。
  2. 所有 Android Lollipop 之前的版本都受到影響
    若你裝置的 Android 系統版本為 Froyo、Gingerbread、Ice Cream Sandwich 或 Jelly Bean,那你就有可能成為 RCAndroid 監視的對象。我們目前還尚未證實這套工具是否適用於所有裝置。但前述的版本幾乎已經涵蓋 82% 的 Android 裝置
  3. 歹徒會利用兩種方式來讓鎖定的對象下載 RCSAndroid
    第一種方法是透過簡訊或電子郵件發送一個特殊的網址到目標對象。第二種方法是利用一個隱匿的後門 App 程式,該程式可避開 Google Play 的機制。
  4. Hacking Team 實際販售的間諜工具價格昂貴,且使用者須支付年度維護費用
    據聞整套工具價格為 234,000 歐元或 260,000 美元。雖然 Hacking Team 販售的間諜工具價格昂貴,但由於程式碼已遭到外洩,因此現在任何人都有可能取得這套工具。由於 RCSAndroid 如此強大,而且現在又這麼容易取得,因此也變得更加危險。網路犯罪集團可隨心所欲地修改其原本的程式來配合自己的需求,還能透過各種管道來讓使用者安裝到自己的裝置上,使用者完全不曉得自己安裝了間諜程式。
  5. 現在任何 Android 開發人員都能輕鬆使用 RCSAndroid
    任何 Android 開發人員,只要具備足夠的知識,就能使用這套行動惡意程式。我們對這套惡意程式以及它如何破解裝置權限來從事間諜活動有深入的分析,請參閱我們的部落格文章「會竊聽電話的 Hacking Team RCSAndroid 間諜工具」。
  6. 已感染的裝置很難偵測並移除該間諜工具
    為了躲避偵測以免遭到移除,RCSAndroid 套件還有能力偵測自己是否在模擬器或沙盒模擬分析環境中執行。該程式還有一項功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。
  7. 某些惡意的行為是經由一個事件動作觸發 (Event Action Trigger) 模組來觸發
    在已感染的裝置上,事件動作觸發模組可根據某些事件來觸發惡意行為。這些事件的觸發條件包括:時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。

Continue reading “有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事”

iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!

趨勢科技持續地研究棋兵風暴行動(Operation Pawn Storm)時,我們發現一枚有趣的毒棋兵 – 一個特別設計給iOS設備的間諜軟體。針對Apple使用者的間諜軟體本身就很值得注意,再加上這個間諜軟體跟APT目標攻擊有關。

apple3

棋兵風暴行動(Operation Pawn Storm)的背景資訊

棋兵風暴行動(Operation Pawn Storm)是個活躍的經濟和政治間諜行動,針對了各種機構,像是軍事、政府、國防產業及媒體。

棋兵風暴行動(Operation Pawn Storm)背後的惡意份子往往會先出動許多棋兵以期能夠接近自己實際想要的目標。當他們終於成功感染一個主要目標後,他們可能會決定更進一步:進階間諜惡意軟體。

iOS惡意軟體也出現在這些進階惡意軟體中。我們相信iOS惡意軟體被安裝在已被駭的系統上,這跟我們在微軟Windows系統上所發現的SEDNIT惡意軟體很相似。

趨勢科技在棋兵風暴行動(Operation Pawn Storm)發現兩個惡意iOS應用程式。一個稱為 XAgent(偵測為IOS_XAGENT.A),另一個則使用合法 iOS 遊戲軟體的名稱 – MadCap(偵測為IOS_XAGENT.B)。經過分析,我們的結論是這兩者都是跟SEDNIT有關的應用程式。

SEDNIT相關間諜軟體的目的顯然的是要竊取個人資料,錄音,截圖,並將它們傳送到遠端的命令和控制(C&C)伺服器。在本文發表時,此iOS惡意軟體所連絡的C&C伺服器仍然存在。

XAgent分析

XAgent應用程式是全功能的惡意軟體。安裝在 iOS7 後,應用程式的圖示會被隱藏,並且會立刻在背景執行。當我們試圖殺死程序來終止它時,它幾乎會馬上重新啟動。

安裝惡意軟體到iOS 8的設備上則會出現不同的結果。圖示不會被隱藏,並且它也不能自動重新啟動。這顯示惡意軟體是在2014年9月推出iOS 8前所設計。

資料竊取能力

該應用程式目的在收集iOS設備上各種類型的資料。它能夠執行以下動作:

  • 收集簡訊
  • 取得連絡人列表
  • 取得圖片
  • 收集地理位置資料
  • 開始錄音
  • 取得已安裝應用程式列表
  • 取得程序列表
  • 取得無線網路狀態

Continue reading “iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!”

數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊

iOS 裝置已成為一項名為 Pawn Storm 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最新目標,這是一項有組織的政治、經濟間諜行動,專門鎖定美國的軍方、大使館及國防承包商人員。趨勢科技研究人員發現兩個專門針對 iOS 7 平台的間諜程式 (目前活躍中的 iOS 裝置約有四分之一仍在使用 iOS 7)。就數量而言,Apple 光去年就賣出了 1.3 億台 iOS 裝置,因此 Pawn Storm 的潛在目標至少在千萬之譜。

 

[延伸閱讀:深入探討 Pawn Storm 間諜攻擊行動 (An In-depth Look at Pawn Storm Espionage Attacks)]

趨勢科技研究人員發現的這兩個間諜程式可暗中監控 iOS 裝置,其行為特徵與 SEDNIT 惡意程式相似,因此可斷定是 Pawn Storm 攻擊行動所有。依據過去經驗,Pawn Storm 的所有攻擊階段當中都會用到 SEDNIT 或 Sofacy 惡意程式,此外也用於該行動的魚叉式網路釣魚郵件當中。

這兩個惡意程式都是 XAgent 間諜程式的變種,不過,只有其中一個會假冒正牌的 MadCap (瘋狂花栗鼠) 遊戲。再者,假冒的 MadCap 遊戲據稱只能在越獄的裝置上運作。

這些 XAgent 應用程式會蒐集裝置上的簡訊、通訊錄、照片、定位資料、已安裝的應用程式清單、執行程序清單以及 Wi-Fi 的狀態。最重要的是,XAgent 應用程式可在使用者不知情的狀況下暗中錄音。也正因如此,任何感染這類程式的 iOS 裝置都將變成一個完美的竊聽工具,而且大多數人在開會或與人交談的時候都會隨身攜帶著手機,因此是一種非常好的竊聽方法。 Continue reading “數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊”