2014是全球首个移动电话恶意软件Cabir诞生十周年。Fortinet的FortiGuardLabs为此追溯了过去10年来的记录,探究各个时期移动威胁的发展与其象征性的意义。
从Cabir和FakeDefend,过去10年来移动恶意软件数量爆增。2013年,Fortinet威胁研究与响应实验室FortiGuardLabs,平均每天发现超过1,300个新的恶意软件,现今总计追踪超过300个Android恶意软件家族,以及超过40万个恶意的Android程序。
除了数量上的绝对增长外,另一个值得关注的趋势是,移动恶意软件已经走向PC恶意软件相同的演化方式,而且速度更快。随着智能手机的快速普及,以及通过手机联网支付的方式,使得手机一旦遭到恶意软件的感染,会付出金钱的代价。此外,智能手机有许多功能,例如定位、话筒、嵌入式GPS和相机,这些都可以监控设备持有者,也让恶意软件的入侵上升了一个层次。如同PC恶意软件一样,移动恶意软件也很快进化为以获取金钱为导向并支持各种不法的商业犯罪模式。
FortiGuardLabs回顾过去10年最具代表性的移动恶意软件,同时也探讨了它们在威胁演化中所扮演的角色:
2004:初尝试
Cabir是全世界第一个移动蠕虫,专设计用来感染NokiaSeries60平台的系列手机,被感染的手机屏幕上会出现「Caribe」这个单词,接着通过手机蓝牙系统,寻找接近的其他装置(手机、打印机、游戏机等)进行传播。
注:因为它相对较无害的特质,专家相信这个蠕虫是由称之为29A的黑客组织为求概念性验证所开发。
2005:MMS的加入
CommWarrior在2005年被发现,在Cabir消失之后,其增加了传播自身的能力,能同时利用蓝牙和MMS。一旦被安装了这款恶意软件,CommWarrior便会存取受感染手机的通讯录,并通过MMS(短信)将自己发送到每一位联系人。MMS作为传播方式引入了金钱方面的问题,因为每发送一个MMS信息,移动设备持有人就得向运营商支付费用。事实上,当时一些电信行业人士表示,CommWarrior增加的流量最高达3.5%,因此他们最后也同意偿还受害者的损失。
该病毒同样也锁定Symbian60平台,欧洲、亚洲和北美超过18个国家都有感染报告。11万5千个移动装置遭感染,超过45万个MMS在受害者不知情的状况下发送。这也首次显示出移动蠕虫可以像PC蠕虫一样快速地传播。
注:当时Symbian是最普及的智能手机操作平台,全球有数千万的用户。然而,CommWarrior的目标只是尽快广泛地传播自己,并非藉由产生的MMS费用来获利。
2006:奔向金钱利益
自Cabir和CommWarrior后,检测到名为RedBrowser的木马程序,与其前辈有许多重要的不同之处。首先,它专门感染采用J2ME(Java2MicroEdition)平台的手机。该木马会将自己伪装为一款能够更容易浏览WAP(WirelessApplicationProtocol)网站的应用程序。由于是攻击目标是应用广泛的Java,而非移动设备的操作系统,攻击的用户范围变得更广了。其次,更重要的不同时,这款木马专门设计来利用利用了高级SMS订购服务,手机用户一般支付每条SMS达5美金的费用。恶意软件演化为了一种获取金钱的手段。
注:一款恶意软件要大规模感染不同操作系统的手机,最初被认为是不可能的事,直至RedBrowser的出现。利用J2ME为作为攻击的媒介是这期间的里程碑式攻击,而以SMS作为获利机制,同样也是划时代的历史事件。
2007~2008:过渡期
这两年间,尽管在移动威胁的演化进程上有所停滞,但在使用者不知情的状况下,
使用户转入高级服务订购的恶意软件数量不断增加。
2009:移动Botnet现身
2009年初,Fortinet发现了隐身在看似合法的SexyView应用程序里的Yxes(Sexy的变形词)这款恶意软件。Yxes的特点在于它是Symbian认证的应用程序,显然它利用了Symbian生态系统的漏洞,将恶意软件写在经认证的应用程序里。
一旦遭到感染,受害者的通讯簿将被发送到一个中控服务器,接着这个服务器会将带有URL地址的SMS给每一位联系人。如果有人点击了SMS中的链接,就会下载并安装恶意软件,整个过程就这样循环往复下去。
Yxes的散布绝大部分限制在了亚洲,2009年至少有10万台设备遭到感染。
注:Yxes是移动恶意软件演化的另一个转折点有几个原因。首先,它被视为是第一个锁定Symbian9操作系统攻击的恶意软件。第二,它是第一个透过发送短信,并在使用者未察觉的情况下自行连网的恶意软件,这在演进上是一项技术创新。最后且最重要的是,它采用混合模式传播并与远程服务器通信。这让反病毒毒分析师惊觉:这可能是新型态病毒——移动殭尸网络的预警。后续的发展确实也证实当时的看法是正确的。
(责任编辑:安博涛)
