移动安全十年风雨录 追忆那些年的手机病毒史

2014是全球首个移动电话恶意软件Cabir诞生十周年。Fortinet的FortiGuard Labs为此回顾过去10年来的记录,探究各个时期移动威胁的发展与其代表的意义。 从Cabir和FakeDefend,过去10年来移动恶意软件的数量爆增。2013年,Fortinet的威胁防护实验室FortiGuard Labs,每天就发现超过1,300个新的恶意程序,现今总计追踪超过300个Android恶意软件家族,以及超过40万个恶意的Android程序。 安卓黑客 除了数量上的绝对成长,另一个值得关注的趋势是,移动恶意软件已经循PC恶意软件相同的演化方式,而且速度更快。随着智慧手机的快速普及,并且可以轻易地拨打加值付费服务,这使得手机一旦遭到感染,就可以很快地被利用来获利。此外,智慧手机有许多功能,例如记录地理位置、麦克风、GPS和相机,这些都可以监控拥有者本身,让入侵的结果达到一个特别的层次。如同PC恶意软件一样,移动恶意软件也很快地进化,能有效率地产出现金流,并支持各种不法的商业犯罪模式。 在以下的年表中,FortiGuard Labs回顾过去10年最具代表性的移动恶意软件,同时也阐述了它们在威胁演化中所扮演的角色:

2004年初试啼声

Cabir是全世界第一个移动蠕虫,专门设计用来感染Nokia Series 60平台的系列手机,被感染的手机会在荧幕上出现“Caribe”这个字。接着这个蠕虫会透过手机的蓝牙系统,寻找接近它的其他装置(手机、打印机、游乐器等)来散布自己。因为它相对较无害的特质,专家相信这个蠕虫是由称之为29A的黑客组织为求概念性验证所开发。

2005年MMS的加入

CommWarrior在2005年被发现,接续在Cabir消失之后,并且增加了传播自身的能力,能同时利用蓝牙和MMS。一旦被安装了这个恶意软件,CommWarrior便会存取遭感染手机的通讯录,并且透过MMS服务将自己寄送给每一位连络人。利用MMS做为传播方式,引发了一个金钱方面的问题,因为寄出一封MMS讯息,电话拥有者就得付费给电信公司。事实上,当时某些电信业者表示,CommWarrior增加的流量最高达3.5%,因此他们最后也同意偿还受害者的损失。 这个病毒同样也锁定Symbian 60平台,欧洲、亚洲和北美超过18个国家都有感染报告,估计有11万5千个移动装置遭感染,超过45万封MMS在受害者不知情的状况下发送。这也是第一次显示出,移动蠕虫可以像PC蠕虫一样快速地被散布。 当时Symbian是最普及的智慧手机平台,全球有数千万个使用者。然而,CommWarrior的目标只是尽快广泛地散布自己,并非藉由产生的MMS费用来获利。

2006年跟着钱走

在Cabir和CommWarrior成功地展现能力之后,名为RedBrowser的木马程序被发现,而且和其前辈有许多重要的不同之处。首先是,它专门用来感染采用J2ME(Java 2 Micro Edition)平台的手机。这个木马会将自己装成是一个应用程序,能更容易地浏览WAP(Wireless Application Protocol)网站。由于是锁定攻击广受支持的Java,而非设备的作业系统,因此木马开发者能攻击的使用者变得更多,不用管电话制造商或作业系统为何。 其次,而且可能是更重要的不同点在于,这个木马专门设计来利用付费的SMS简讯加值服务。

电话使用者一般会依每则简讯付出固定费用,这使得移动恶意软件又进一步演化,成为获取现金收入的一个方法。 一个恶意软件要大规模感染不同作业系统的手机,最初被认为是不可能的事,直到RedBrowser出现。以J2ME做为攻击标的是这段期间重要的里程碑,而以SMS做为获取现金收入的机制,同样也是划时代的历史事件。 2014是全球首个移动电话恶意软件Cabir诞生十周年。Fortinet的FortiGuard Labs为此回顾过去10年来的记录,探究各个时期移动威胁的发展与其代表的意义。

2007-2008年过渡时期

在这两年期间,尽管在移动威胁的演化进程上有所停滞,但在使用者不知情的状况下,拨打加值付费服务的恶意软件数量持续增加。 2009年移动Botnet现身 在2009年,Fortinet发现了Yxes(来自Sexy的变字)这个恶意软件,它隐身在看似合法的Sexy View应用程序里。Yxes的特点在于它是Symbian认证的应用程序,显然它利用了Symbian体系的漏洞,将恶意软件写在经认证的应用程序里头。 一旦遭到感染,受害者的移动电话会寄发自己的通讯录到一个中控服务器,接着这个服务器会寄送带有URL位址的简讯给每一位连络人。

如果有人按下简讯里的连结,就会下载并安装恶意软件,整个过程就会一直重复下去。Yxes的散布地区主要在亚洲,2009年至少有10万台设备遭到感染。 Yxes是移动恶意软件演化的另一个转折点有几个原因。首先,它被视为是第一个锁定Symbian 9作业系统攻击的恶意软件。第二,它是第一个透过发送简讯,并在使用者未察觉的情况下自行连网的恶意软件,这在演进上是一项技术创新。最后,而且可能是最重要的是,它采用混合模式散布自己,并与远端服务器通讯,让防毒分析师惊觉:这可能是新型态病毒——移动殭尸网络的预警。后续的发展确实也证实当时的看法是正确的。

2010年移动恶意软件的工业革命

2010年是移动恶意软件历史的一个重要里程碑。主事者由区域性的个人或小团体,转变为大规模有组织的网络罪犯,并且以全球为范畴在操控。此时是移动恶意软件工业化时代的开始,攻击者开始明白移动恶意软件可以轻易为他们带来金钱,决定更积极地利用它。 2010年同时也出现了第一个源自PC的移动恶意软件。Zitmo(Zeus in the Mobile之意)是第一个衍生自Zeus的移动恶意软件,Zeus生存于PC世界,专门攻击银行业,是非常可怕的木马程序。

而Zitmo能与Zeus协同合作,在网络银行的交易中绕过简讯的使用,借以规避安全程序。 同年还有其它备受注目的恶意软件,最有名的则是Geinimi。Geinmi是第一个设计用来攻击Android平台的恶意软件,而且遭感染的手机还会成为殭尸网络的一员。手机如果不小心安装了这个恶意软件,就会自行与远端服务器通讯,并执行各种命令,例如安装与解除某应用程序,进一步有效地控制该手机。 Android恶意软件和移动殭尸网络的出现,无疑是2010年的代表性事件。然而,有组织的网络罪犯持续增加,并利用移动恶意软件获取实质经济利益,则更受到公众瞩目。

2011年Android、Android还是Android

随着锁定Android的攻击持续增加,2011年则是见到威力更为强大的恶意软件。当时出现的DroidKungFu,直至今日仍被视为是技术最先进的病毒之一,并且拥有许多特点。这个恶意软件包含一个著名的攻击,能root手机取得权限,成为手机的管理者(uDev或Rage Against The Cage)并在完全掌控手机后,与命令服务器连系。它同时也能躲避防毒软件的侦测,是网络罪犯和防毒研发团队两者之间,持续进行的战争中第一次的交战。如同以往大多数的病毒一样,DroidKungFu能自第三方非正式的应用程序商店中取得,并且在中国有许多的论坛。 Plankton也同样在2011年登上舞台,目前仍是最广为流窜的Android恶意软件之一。即使是在Google Play这样的官方Android应用程序商店,Plankton也隐藏在为数众多的应用程序中,化身为激进版的广告软件,下载惹人厌的广告至手机,或是修改手机浏览器的首页,有时则是自行增添新的捷径或书签至移动电话里。 Plankton完全是属于大联盟的等级。它名列全类别中的十大最常见病毒,能与顶级的PC病毒平起平坐。以往移动恶意软件落后它PC同类的时代已经结束,光是Plankton,就已感染了超过5百万台的设备。

2013年新的攻击模式

2013年的重要事件是FakeDefend的出现,它是第一个Android手机上的勒索软件。 FakeDefend会伪装成防毒软件,运作的方法就和PC上的伪防毒软件一样。它会锁死受害者的手机,然后要求给付赎金(例如付出高额的防毒软件订阅费用),才能取回手机中的资料。不过,付出赎金并不能把手机修好,仍必须回复原厂设定值才能恢复正常。 Chuli也同样出现在2013年,它是第一个包含Android恶意软件的针对性攻击。2013年3月11日至13日在日内瓦举行世界维吾尔大会的一个活动人士,其电子邮件被用来攻击其他的西藏人权主义者和拥护者的账户。这些寄自被骇账户的邮件里,夹带着Chuli。它被设计用来搜集信息,例如简讯、SIM卡和手机里的连络人、位置资料,并且能记录受害者的通话。所有信息都会被传送至远端服务器。 2013年可视为是移动攻击转为专业的一年。更多针对性攻击、更为精巧的恶意软件,如FakeDefend或Chuli,它们的攻击案例都可以和我们在PC世界已知的威胁相提并论。

而且,像Chuli这类的攻击,会让我们很合理的想问,我们是否正进入移动网络战争的年代?政府或其他国家机构是否开始与这些攻击来源有所关连? 接下来呢? 在网络犯罪的领域,很难去预测明年甚或未来10年会发生什么事。移动威胁在过去10年已有惊人的变化,网络犯罪团体也不断地在寻找新的巧妙方法,来利用这些攻击达到其唯一目的——获取金钱。 然而,随着智慧手机和其他移动技术的爆炸性成长,一个合理的预测是:移动和PC恶意软件将会汇流融合。当所有的事物都移动化之后,所有的恶意软件也将全都变成移动化。 除了移动设备之外,未来网络罪犯最有可能的攻击标的,将会是物联网(Internet of Things,IoT)。

尽管很难去预测未来5年会连上网络的物件数量是多少,但根据Gartner估计,2020年将会有300亿个物品连网,IDC则是预估会有2,120亿个。随着愈来愈多制造商和服务供应商利用这些物品连网的新契机获利,因此假设这些新产品的开发过程尚未考虑到安全性是合理的。物联网是否将成为网络罪犯接下来觊觎的宝藏?值得密切观察。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量