自從 Hacking Team 資料外洩的檔案在網路上曝光之後,引發了很多後續效應。除了一些新的 Flash Player 和 IE 漏洞被發現、攻擊、然後修補之外,該公司的工具套件原始碼也遭到外流。尤其是一套精密的惡意程式套件,叫做 RCSAndroid (Android 遠端遙控系統),這是該公司對外販售用來監視特定對象的間諜工具。
根據趨勢科技的研究人員指出,這套間諜工具可說是「目前所見最專業、最精密的 Android 惡意程式之一。」
但RCSAndroid 間諜軟體到底可以做些什麼?受影響的對象為何?哪些裝置會受到影響?我們在下面快速整理了有關 Hacking Team 資料外洩曝光的行動惡意程式套件你該知道的一些重點:
- 它可利用前、後鏡頭拍攝照片
我們的研究人員在分析該行動惡意程式套件外洩的原始程式碼之後發現,RCSAndroid 程式可窺探監視對象的隱私。其功能包括監視 Android 裝置螢幕和剪貼簿中的內容、蒐集網路帳號的密碼和聯絡資訊,還有使用裝置的相機鏡頭及麥克風。 - 所有 Android Lollipop 之前的版本都受到影響
若你裝置的 Android 系統版本為 Froyo、Gingerbread、Ice Cream Sandwich 或 Jelly Bean,那你就有可能成為 RCAndroid 監視的對象。我們目前還尚未證實這套工具是否適用於所有裝置。但前述的版本幾乎已經涵蓋 82% 的 Android 裝置。 - 歹徒會利用兩種方式來讓鎖定的對象下載 RCSAndroid
第一種方法是透過簡訊或電子郵件發送一個特殊的網址到目標對象。第二種方法是利用一個隱匿的後門 App 程式,該程式可避開 Google Play 的機制。 - Hacking Team 實際販售的間諜工具價格昂貴,且使用者須支付年度維護費用
據聞整套工具價格為 234,000 歐元或 260,000 美元。雖然 Hacking Team 販售的間諜工具價格昂貴,但由於程式碼已遭到外洩,因此現在任何人都有可能取得這套工具。由於 RCSAndroid 如此強大,而且現在又這麼容易取得,因此也變得更加危險。網路犯罪集團可隨心所欲地修改其原本的程式來配合自己的需求,還能透過各種管道來讓使用者安裝到自己的裝置上,使用者完全不曉得自己安裝了間諜程式。 - 現在任何 Android 開發人員都能輕鬆使用 RCSAndroid
任何 Android 開發人員,只要具備足夠的知識,就能使用這套行動惡意程式。我們對這套惡意程式以及它如何破解裝置權限來從事間諜活動有深入的分析,請參閱我們的部落格文章「會竊聽電話的 Hacking Team RCSAndroid 間諜工具」。 - 已感染的裝置很難偵測並移除該間諜工具
為了躲避偵測以免遭到移除,RCSAndroid 套件還有能力偵測自己是否在模擬器或沙盒模擬分析環境中執行。該程式還有一項功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。 - 某些惡意的行為是經由一個事件動作觸發 (Event Action Trigger) 模組來觸發
在已感染的裝置上,事件動作觸發模組可根據某些事件來觸發惡意行為。這些事件的觸發條件包括:時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。
