針對佔中人士，iOS 惡意程式 Xsser mRAT 來勢洶洶

行動裝置資安公司Lacoon Mobile Security的研究團隊，發現了名為Xsser mRAT的惡意程式，這款程式不但會尋管道入侵iPhone與iPad等Apple推出的行動裝置，還會竊取使用者的電話簿、通聯記錄、位置等資訊。有趣 的是，它以透過假冒的協助佔中訊息的方式，在即時通訊軟體中進行傳播。

疑竊取佔中人士個人資料

根據香港媒體Winandmac香港版網站報導，Xsser mRAT這款惡意程式會「假扮是協助佔中的訊息，在WhatsApp中散播開去」。Winandmac香港版本身也報導許多佔中新聞，原則上消息應該是可靠的。

另一方面行動裝置資安公司Lacoon Mobile Security也提出了相關報導，指出Xsser mRAT將會竊取使用者的個人資料，其中包括：

 

• 電話簿
• 簡訊
• 通話記錄
• 位置資訊（以手機定位為基礎）
• 照片
• 作業系統資料
• 騰訊相關App資料
• iOS密碼與認證資料（AppleID、E-Mail密碼以及其他）
• 手機識別資訊（Phones GSM identities）

 

在這敏感的時機點，Xsser mRAT的出現，很難讓人不和無時不刻都在進行網路監控的北京政府聯想在一起。由於北京政府擁有強大且無視人權的國家機器，所以上至電信商、下至App，都有可能收集甚至竊取使用者的個人資料，再配合警力、軍力「依法行政」，因次對於參加佔中活動的人士來說，通訊保密不可不慎。

僅越獄iDevice會中標

Xsser mRAT雖然不是非常革命性的惡意程式，但是我們卻可以從中看到攻擊者如何運用「社群」的力量來打壓網路社群本身。攻擊者成功地運用了網路社群的相關性，騙取受害者的信任，以這次佔中活動為例，攻擊者透過發送佔中訊息，就可以吸引著相同政治理念的示威者跳下陷阱，如果在其他如體育、音樂表演等活動，也可以利用類似的手法誘騙受害者，讓受害者在不自覺的情況下安裝惡意程式，自行幫攻擊者打開後門，讓自己曝露於風險之下。

根據Lacoon的調查，Xsser mRAT與先前發現的Android惡意程式頗有淵源，兩者共用相同的CnC server（控制殭屍網路的伺服器）。該惡意程式也是偽裝為支持佔中的訊息，以「Check out this Android app designed by Code4HK, group of activist coders,  for the coordination of Occupy Central」訊息誘騙使用者安裝。

然而iOS的安全性本身比Android高，一般使用者無法不透過Apple官方App Store安裝App，Xsser mRAT則是透過越獄之後安裝的Cydia第三方網路商店做為途徑，加入在其中加入惡意程式的軟體源，然後下載、安裝.deb封裝檔案，當惡意程式安裝到裝置之後，便會自動以系統服務的方式執行，並長駐於系統背景，一旦裝置開機後就會開始竊取資料。從Lacoon所揭發的資訊看來，目前Xsser mRAT仍無法影響未越獄的iDevice。

▲Xsser mRAT會在感染後自行下載、安裝檔案，並自動於背景執行。（圖片來源）

▲Lacoon也發現，Xsser mRAT所使用的軟體源無法從電腦登入，只能以iDevice登入。（圖片來源）

▲Cydia為iDevice的第三方網路商店，需要越獄後才能使用。

▲Cydia中的軟體源可以想像成不同的「軟體商店」，透過添加軟體源可以取得不同網路商店提供的程式，而Xsser mRAT則是是用自己的軟體源。

延伸閱讀：

當香港手機網路訊號中斷，FireChat這款「沒有訊號也能聯繫」的APP就此爆紅

中國政府擴建防火長城，香港佔中普選成箭靶

中國傳對 Yahoo 發動中間人攻擊，試圖封鎖香港佔中消息