數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊

iOS 裝置已成為一項名為 Pawn Storm 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最新目標,這是一項有組織的政治、經濟間諜行動,專門鎖定美國的軍方、大使館及國防承包商人員。趨勢科技研究人員發現兩個專門針對 iOS 7 平台的間諜程式 (目前活躍中的 iOS 裝置約有四分之一仍在使用 iOS 7)。就數量而言,Apple 光去年就賣出了 1.3 億台 iOS 裝置,因此 Pawn Storm 的潛在目標至少在千萬之譜。

 

[延伸閱讀:深入探討 Pawn Storm 間諜攻擊行動 (An In-depth Look at Pawn Storm Espionage Attacks)]

趨勢科技研究人員發現的這兩個間諜程式可暗中監控 iOS 裝置,其行為特徵與 SEDNIT 惡意程式相似,因此可斷定是 Pawn Storm 攻擊行動所有。依據過去經驗,Pawn Storm 的所有攻擊階段當中都會用到 SEDNIT 或 Sofacy 惡意程式,此外也用於該行動的魚叉式網路釣魚郵件當中。

這兩個惡意程式都是 XAgent 間諜程式的變種,不過,只有其中一個會假冒正牌的 MadCap (瘋狂花栗鼠) 遊戲。再者,假冒的 MadCap 遊戲據稱只能在越獄的裝置上運作。

這些 XAgent 應用程式會蒐集裝置上的簡訊、通訊錄、照片、定位資料、已安裝的應用程式清單、執行程序清單以及 Wi-Fi 的狀態。最重要的是,XAgent 應用程式可在使用者不知情的狀況下暗中錄音。也正因如此,任何感染這類程式的 iOS 裝置都將變成一個完美的竊聽工具,而且大多數人在開會或與人交談的時候都會隨身攜帶著手機,因此是一種非常好的竊聽方法。

[延伸閱讀:研究人員專用 iOS 應用程式技術剖析 (Detailed technical analysis of the iOS apps for researchers)]

除了 iOS 應用程式和網路釣魚(Phishing)郵件之外,Pawn Storm 也經常利用系統漏洞和釣魚網站為攻擊途徑。

XAgent 間諜程式如何進入 iOS 裝置

iOS 平台在安全方面採取了封閉保護的策略,因而讓消費者有一種錯誤的認知,認為 iOS 裝置不會感染惡意程式。然而,Masque 和 Wirelurker 兩個惡意程式卻已證明,iOS 裝置不論是否越獄,都不能對惡意程式免疫。

[延伸閱讀:在 Masque 和 WireLurker 之前:突破 iOS 封閉樂園的威脅 (Before Masque and WireLurker: iOS Threats That Cracked the Walled Garden)]

不僅如此,XAgent 間諜程式的出現,讓 iOS 又多了一種威脅。目前,研究人員還在調查該惡意程式的安裝方式,但大致上其受害者的特徵如下:

  1. 受害者為鎖定機構的人員。

歹徒通常會選擇獲利豐厚的攻擊目標,就 Pawn Storm來說,美國的軍方、大使館和國防承包商是他們可能的攻擊目標。

  1. 受害者仍在使用 iOS 7。

請注意,上述兩個間諜程式都是在 iOS 7 裝置上才能完美運作。它們在其他 iOS 版本上就不是那麼順暢,而且在新的 iOS 8 甚至無法自動執行。但是,目前仍有四分之一的 iPhone 和 iPad 還在使用 iOS 7,這才是問題。光是升級檔案所需的空間,就經常讓使用者對升級到最新作業系統感到卻步。但是,從 Android 更新流程分散的問題上我們已經學到,不升級對使用者來說實在不是好事。

  1. 受害者可能在行動裝置上點選了 Ad-hoc 部署或企業部署機制傳送的惡意連結。

Ad-hoc 部署是開發人員用來將自己撰寫的程式安裝到裝置上而不需透過 App Store 的一種方式,此外,iOS 程式開發人員也利用此方式來將程式提供給特定使用者測試。至於企業則是利用企業部署機制來將應用程式提供給自己的員工。

歹徒很可能在針對 iOS 系統的垃圾郵件當中,透過這些機制來散布 XAgent 間諜程式。若您點選到一些社交工程誘餌的話,例如像「點擊這裡安裝應用程式」這類可能遭到毒化而會下載 XAgent 的連結,那麼您很可能就會遭到感染。

Pawn Storm 攻擊行動的蹤跡最遠可追溯到 2007 年。歹徒非常了解該搭配哪些不同方法來達成想要的目的。

正如我們前瞻威脅研究團隊一篇有關 Pawn Storm 的報告指出:「除了高明的網路釣魚手法之外,歹徒還會利用一些APT攻擊 的手法來入侵系統與潛入目標網路,例如系統漏洞和專門竊取資料的惡意程式。尤其是 SEDNIT惡意程式變種,該變種可讓歹徒從受害電腦上竊取各式各樣的敏感資訊,而且可有效躲避偵測。」

此攻擊行動轉移目標到原本被視為安全且廣受高收入族群喜愛的 iOS 裝置,是一項值得我們持續觀察的最新發展。

 

原文出處: Millions of iOS Devices at Risk from ‘Operation Pawn Storm’ Spyware
粉絲團

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載