跨平台的威脅不管攻擊範圍是否包含手機都很危險,因為它們可以從一個平台「跳」到另一個平台,讓它們可能造成更多傷害。它們不僅可以影響到原本的受害者,還包括受害者的其它設備,甚或是它們所連接的網路(接著讓網路中其他系統也成為受害者)。如果任其發展,傷害將會是三級跳的成長。
除了有針對這大量擴張用戶群的特製惡意軟體之外,還有另一跡象顯示行動設備將會很快地接管運算環境 – 行動設備被包含在跨平台的威脅內。
什麼是跨平台的威脅?
跨平台威脅是指攻擊模式或行為涉及多個平台的惡意攻擊。跨平台威脅包括(但不限於):
- 以同樣方式攻擊不同平台的威脅
- 針對不同平台有不同惡意後續行為的攻擊
- 具備能夠執行在不同平台之不同組件的威脅
- 從一平台上展開攻擊,而在另一個平台上導致更多惡意行為的威脅
根據定義,如果一特定威脅的攻擊包括了多個平台,那它就是跨平台的威脅。而隨著手機熱潮蔓延,網路犯罪分子也開始將行動設備包含(有時甚至集中)在這類攻擊中。
最近一些著名的跨平台行動威脅例子包括:
跨平台攻擊案例1:偽裝成Android系統清掃工具的惡意程式
ANDROIDOS_USBATTACK.A,這是個偽裝成Android系統清掃工具的惡意程式。它會進行資料竊取,還會下載一自動執行惡意程式到受感染行動設備的記憶卡上。如果使用者將行動設備連到Windows電腦上,惡意軟體便會自動執行而將其感染。惡意軟體會用電腦的麥克風功能來記錄使用者的語音資訊。
圖一、ANDROIDOS_USBATTACK.A偽裝成工具軟體
跨平台攻擊案例2:搜尋受感染行動設備上的網路銀行應用程式
TROJ_DROIDPAK.A,這是一個會下載和安裝惡意APK檔案到連接受感染電腦上之任何Android行動設備的電腦木馬程式。這惡意APK檔案接著會搜尋受感染行動設備上的網路銀行應用程式,如果發現,就會提示使用者來將其更換成惡意版本。
跨平台攻擊案例3:WhatsApp語音留言,一聽取就下載惡意檔案
一個垃圾訊息活動跟WhatsApp有關,這是個相當普及的免費行動訊息應用程式。垃圾訊息告知使用者有等待中的WhatsApp語音留言,想要聽取就必須點入一個連結,結果會下載惡意檔案。下載的惡意軟體會因為所下載平台不同而改變。從電腦點擊連結會下載一個惡意Java檔案,而從iOS或Android點入則會下載一個惡意應用程式(後者所導致的軟體被偵測為ANDROIDOS_OPFAKE.CTD。
是什麼讓跨平台威脅成真?
有多個因素讓這樣的跨平台行動威脅成真。一個是為了儘量加強社交工程(social engineering )的有效性,像前面所提到的WhatsApp垃圾訊息就利用了這個流行的應用程式。現在網路犯罪攻擊越來越常會利用受期待的新產品發表,名人死亡消息,甚至是體育賽事(世界杯是現在非常流行的社交工程(social engineering )誘餌)。任何被民眾所喜愛的流行、有新聞價值或熱門事物會讓跨平台攻擊出現來尋找受害者。
另一個因素是行動設備和筆記型電腦/桌上型電腦之間相互連接的普及。當行動設備不再只是手機,而是種電腦的替代品時,使用者常常會將行動設備連到家庭/工作系統來同步他們的檔案和文件。設備之間的這種聯結是威脅攻擊進行跳躍的媒介。
行動設備的日益普及也是要考慮在內的一個因素,只要網路犯罪分子將某平台視為可行的收入來源,網路犯罪分子就會持續地開發專門針對它或包括它們在內的威脅攻擊。
到目前為止,所發現的跨平台行動威脅都還沒有用到行動裝置漏洞,但我們不能忽視Android的碎片化會有讓此可能性出現。Google已經在努力地嘗試解決這一問題,但許多設備生態系仍無法更新到更安全版本的作業系統。所以就留下了未修補的漏洞,網路犯罪分子可能很快就會將這些仍然存在的漏洞加入自己跨平台行動威脅的劇本。
我們如何預期跨平台威脅的發展?
根據趨勢科技所看到的,我們可能會在未來看到越來越多跨平台的威脅 – 尤其是那些從手機開始,再跳到桌面系統的威脅。我們已經看到這發生在ANDROIDOS_USBATTACK.A – 雖然它可能不會對桌面系統導致太大傷害,但積極的網路犯罪分子可以輕易地用其他惡意軟體取代,像比特幣(Bitcoin)採礦程式或後門程式。我們相信會有更多此類跨平台威脅浮出水面。
網路犯罪分子也可能將行動設備作為惡意軟體的「載體」,用來對重要APT攻擊-進階持目標進行針對性攻擊,如企業或政府機構。
受感染的行動設備一旦連接或同步到業務系統,便可以從內部散播和感染網路,竊取關鍵業務資料。也可能是相反的方向 – 已經滲透商業網路的針對性攻擊,可以攻擊連到網路的行動設備。
後者已經成真 – 根據我們對LuckyCat C&C伺服器(LuckyCat是個惡名遠播的針對性攻擊活動)的監視,我們在伺服器上發現兩個惡意Android應用程式程式碼,它們可以用來偷取受感染手機上的重要資料。我們認為,LuckyCat幕後的網路犯罪份子正計劃要散播這些惡意應用程式到他們所滲透的網路,用來感染組織內員工的行動設備(竊取他們的個人資料)。
這有問題的應用程式也被發現具備遠端存取工具(RAT)能力,讓它們可以下載和安裝其他惡意軟體,使其變得更加危險。
最後,網路犯罪份子還可以嘗試透過手機與電腦威脅模式來入侵家庭自動化系統。一種情境是:當使用者將其受感染行動設備連接到家庭網路或連接該網路的電腦,惡意軟體可透過這連接散播,並控制了家庭自動化系統。這不僅會讓全家和他們的設備/電腦感染惡意軟體,還讓網路犯罪份子侵入他們的住家和安全性。
受感染的家庭自動化系統可能被控制用來記錄在室內的一舉一動,危及家人的隱私。網路犯罪分子也可能操縱系統來關閉屋內的安全措施 – 讓小偷或強盜可以輕鬆進入房子。這種危險是存在而真實的。
可以做些什麼?
跨平台的威脅不管攻擊範圍是否包含手機都很危險,因為它們可以從一個平台「跳」到另一個平台,讓它們可能造成更多傷害。它們不僅可以影響到原本的受害者,還包括受害者的其它設備,甚或是它們所連接的網路(接著讓網路中其他系統也成為受害者)。如果任其發展,傷害將會是三級跳的成長。
而它只需要感染一個設備或系統,就能製造這種連鎖反應。
雖然我們對於讓跨平台威脅有效的因素無法做些什麼,但我們可以保護好跨平台威脅所攻擊的點 – 也就是我們的行動設備和電腦。
無論是工作或家庭環境,設備都必須進行安全方面的最佳化,以防止威脅在不同平台中跳躍。各種可能遭受網路犯罪份子攻擊的平台上都有安全解決方案,不加以運用就等於是在邀請網路犯罪活動發生。
使用者也必須被教育,如何識別這些威脅,如何避免,和在懷疑自己受到影響時可以做些什麼。保護好端點就可以打破感染鏈。