行動惡意軟體誕生10周年 回顧手機病毒史

在這兩年期間，儘管在行動威脅的演化進程上有所停滯，但在使用者不知情的狀況下，撥打加值付費服務的惡意軟體數量持續增加。

在2009年，Fortinet發現了Yxes（來自Sexy的變字）這個惡意軟體，它隱身在看似合法的Sexy View應用程式裡。Yxes的特點在於它是Symbian認證的應用程式，顯然它利用了Symbian體系的漏洞，將惡意軟體寫在經認證的應用程式裡頭。

一旦遭到感染，受害者的行動電話會寄發自己的通訊錄到一個中控伺服器，接著這個伺服器會寄送帶有URL位址的簡訊給每一位連絡人。如果有人按下簡訊裡的連結，就會下載並安裝惡意軟體，整個過程就會一直重複下去。Yxes的散佈地區主要在亞洲，2009年至少有10萬台設備遭到感染。

Yxes是行動惡意軟體演化的另一個轉捩點有幾個原因。首先，它被視為是第一個鎖定Symbian 9作業系統攻擊的惡意軟體。第二，它是第一個透過發送簡訊，並在使用者未察覺的情況下自行連網的惡意軟體，這在演進上是一項技術創新。最後，而且可能是最重要的是，它採用混合模式散佈自己，並與遠端伺服器通訊，讓防毒分析師驚覺：這可能是新型態病毒——行動殭屍網路的預警。後續的發展確實也證實當時的看法是正確的。

2010年是行動惡意軟體歷史的一個重要里程碑。主事者由區域性的個人或小團體，轉變為大規模有組織的網路罪犯，並且以全球為範疇在操控。此時是行動惡意軟體工業化時代的開始，攻擊者開始明白行動惡意軟體可以輕易為他們帶來金錢，決定更積極地利用它。

2010年同時也出現了第一個源自PC的行動惡意軟體。Zitmo（Zeus in the Mobile之意）是第一個衍生自Zeus的行動惡意軟體，Zeus生存於PC世界，專門攻擊銀行業，是非常可怕的木馬程式。而Zitmo能與Zeus協同合作，在網路銀行的交易中繞過簡訊的使用，藉以規避安全程序。

同年還有其它備受注目的惡意軟體，最有名的則是Geinimi。Geinmi是第一個設計用來攻擊Android平台的惡意軟體，而且遭感染的手機還會成為殭屍網路的一員。手機如果不小心安裝了這個惡意軟體，就會自行與遠端伺服器通訊，並執行各種命令，例如安裝與解除某應用程式，進一步有效地控制該手機。

Android惡意軟體和行動殭屍網路的出現，無疑是2010年的代表性事件。然而，有組織的網路罪犯持續增加，並利用行動惡意軟體獲取實質經濟利益，則更受到公眾矚目。

隨著鎖定Android的攻擊持續增加，2011年則是見到威力更為強大的惡意軟體。當時出現的DroidKungFu，直至今日仍被視為是技術最先進的病毒之一，並且擁有許多特點。這個惡意軟體包含一個著名的攻擊，能root手機取得權限，成為手機的管理者（uDev或Rage Against The Cage）並在完全掌控手機後，與命令伺服器連繫。它同時也能躲避防毒軟體的偵測，是網路罪犯和防毒研發團隊兩者之間，持續進行的戰爭中第一次的交戰。如同以往大多數的病毒一樣，DroidKungFu能自第三方非正式的應用程式商店中取得，並且在中國有許多的論壇。

▲用戶不斷增加的Android，始終是行動惡意軟體鎖定的對象。

Plankton也同樣在2011年登上舞台，目前仍是最廣為流竄的Android惡意軟體之一。即使是在Google Play這樣的官方Android應用程式商店，Plankton也隱藏在為數眾多的應用程式中，化身為激進版的廣告軟體，下載惹人厭的廣告至手機，或是修改手機瀏覽器的首頁，有時則是自行增添新的捷徑或書籤至行動電話裡。

Plankton完全是屬於大聯盟的等級。它名列全類別中的十大最常見病毒，能與頂級的PC病毒平起平坐。以往行動惡意軟體落後它PC同類的時代已經結束，光是Plankton，就已感染了超過5百萬台的設備。

2013年的重要事件是FakeDefend的出現，它是第一個Android手機上的勒索軟體。 FakeDefend會偽裝成防毒軟體，運作的方法就和PC上的偽防毒軟體一樣。它會鎖死受害者的手機，然後要求給付贖金（例如付出高額的防毒軟體訂閱費用），才能取回手機中的資料。不過，付出贖金並不能把手機修好，仍必須回復原廠設定值才能恢復正常。

Chuli也同樣出現在2013年，它是第一個包含Android惡意軟體的針對性攻擊。2013年3月11日至13日在日內瓦舉行世界維吾爾大會的一個活動人士，其電子郵件被用來攻擊其他的西藏人權主義者和擁護者的帳戶。這些寄自被駭帳戶的郵件裡，夾帶著Chuli。它被設計用來蒐集資訊，例如簡訊、SIM卡和手機裡的連絡人、位置資料，並且能記錄受害者的通話。所有資訊都會被傳送至遠端伺服器。

2013年可視為是行動攻擊轉為專業的一年。更多針對性攻擊、更為精巧的惡意軟體，如FakeDefend或Chuli，它們的攻擊案例都可以和我們在PC世界已知的威脅相提並論。而且，像Chuli這類的攻擊，會讓我們很合理的想問，我們是否正進入行動網路戰爭的年代？政府或其他國家機構是否開始與這些攻擊來源有所關連？

接下來呢？

在網路犯罪的領域，很難去預測明年甚或未來10年會發生什麼事。行動威脅在過去10年已有驚人的變化，網路犯罪團體也不斷地在尋找新的巧妙方法，來利用這些攻擊達到其唯一目的——獲取金錢。

▲針對手機的惡意軟體愈來愈專業化，已可和PC世界的威脅相提並論。

然而，隨著智慧手機和其他行動技術的爆炸性成長，一個合理的預測是：行動和PC惡意軟體將會匯流融合。當所有的事物都行動化之後，所有的惡意軟體也將全都變成行動化。

除了行動設備之外，未來網路罪犯最有可能的攻擊標的，將會是物聯網（Internet of Things，IoT）。儘管很難去預測未來5年會連上網路的物件數量是多少，但根據Gartner估計，2020年將會有300億個物品連網，IDC則是預估會有2,120億個。隨著愈來愈多製造商和服務供應商利用這些物品連網的新契機獲利，因此假設這些新產品的開發過程尚未考慮到安全性是合理的。物聯網是否將成為網路罪犯接下來覬覦的寶藏？值得密切觀察。

＜本文作者：Axelle Apvrille，現任Fortinet資深行動威脅研究員，專注於獵捕行動裝置的惡意軟體，並研究它們的運作方法與防範之道。＞