云端服务供应商 Akamai Technologies, Inc. 今(25)日透过旗下 Prolexic 安全工程及反应团队(Prolexic Security Engineering & Response Team;PLXsert)发表全新网络安全威胁建议书。该建议书警告企业、政府及个人,防范以 iOS 及 Android 装置为攻击目标的 Xsser 行动远端存取木马程式(mobile remote access Trojan;mRAT)。Xsser mRAT 透过中间人攻击及网络钓鱼攻击散播,亦可能包括窃听移动电话基地台的定点攻击。
Akamai 资讯安全事业单位资深副总裁兼总经理 Stuart Scholly 表示:“富有经验的恶意攻击者现正针对无防范意识的行动装置使用者为目标,假冒或绕过 Google 及 Apple 应用程序商店,并利用社交工具程式,藉以诱骗使用者下载未经验证的应用程序,以安装内含 Xsser mRAT 等恶意应用程序至使用者的行动装置。举例来说,攻击者提供伪造的 Flappy Birds 应用程序供人下载,同时递送恶意软件。”
“越狱”的 iOS 装置存在风险
“越狱(Jailbreaking)”是移除 iOS 操作系统限制及资讯安全检查的过程,进而允许使用者安装来自其他应用程序商店的应用程序。以中国为例,在 6,000 万台 iOS 装置中,估计有 14% 已经“越狱”,多数是为了支援第三方中文键盘输入法应用程序的使用。已“越狱”的手机有更大受到恶意软件攻击的风险。
行动远端存取木马程式:Xsser mRAT
在过去,Xsser mRAT 攻击只针对 Android 装置,但新变种程式亦能感染已“越狱”的 iOS 装置。该应用程序会透过 Cydia(已“越狱”iPhone 最常用的第三方应用程序商店)上的恶意程式库来安装。一旦恶意程式被安装及执行,它会永久保存在装置上--防止使用者将之删除。然后,mRAT 进行服务器端检查,并着手从使用者装置上窃取资料以及执行远端指令,如同依照其命令与控制(C2)服务器的指示。
Scholly 补充道:“被安装远端存取软件的受感染手机可被用于多种恶意用途,包括监视、窃取登入凭证、发动分散式阻断服务(DDoS)攻击等。随着全球智能手机使用者人数突破十亿,此类恶意软件亦产生严重的隐私外泄以及非法活动猖獗的风险。”
避免感染是最好的防护
使用者难以侦测手机是否受到像是 Xsser mRAT 等恶意软件的攻击,因此必须注重防护工作。采用虚拟私有网络(VPN)、双因子鉴别、点对点相邻网络及商用手机安全应用程序均能提供一些保护。此外,避免使用免费 Wi-Fi 热点及自动连接、拒绝不明通讯、不要进行手机“越狱”及不使用来自不受信任来源的应用程序,亦是该建议书提出的部分自我保护方法。
预防感染要诀、感染 Xsser mRAT 的手机最终如何处理等详细资讯,可参阅威胁建议书。
更多详情请参阅 iOS 及 Android 作为中间人攻击目标威胁建议书
在威胁建议书中,PLXsert 提供的分析和详细资料包括:
- 针对行动装置进行攻击的开放源代码情报
- 攻击者如何存取 Android 装置
- 攻击者如何存取 iOS 装置
- GSM 及 CDMA 装置的中间人攻击漏洞
- “越狱”手机处于高风险状态的原因
- 感染 Xsser mRAT 的手机最终如何处理
- 恶意使用 Cydia 程式库
- 预防感染要诀
(首图来源:quazoo)
