【創科廣場】手機惡意程式氾濫國家級APT病毒間諜

上周，BlackBerry發布手機惡意程式研究報告，研究高級持續性威脅（APT）如何在持續不斷的監控及間諜活動，手機跟傳統桌上電腦惡意程式合併。

BlackBerryCylance首席技術總監EricCornelius表示：「研究顯示，手機上的惡意攻擊帶來的威脅比以往估計的蔓延得更快。對很多人而言，了解到不同行動的長期合作，攻擊手機用戶令人震驚，長久以來，用以檢測和預防手機惡意程式及有效的安全解決方案不足，令用戶成為APT的目標。」

國家支援攻擊者

是次報告紀錄多個以往未辨識APT攻擊行動、新的惡意程式家族，及填補以往研究著名APT組織的手機惡意程式報告的漏洞。研究員發現了中國、伊朗、北韓及越南的APT組織的手機及手機/桌上電腦的間諜行動，以及另外兩個未經辨識，但很大機會是國家支援攻擊者，上述均是基於經濟及/或政治目的，針對國外及/或本地的目標攻擊。

報告辨識了新的攻擊者BBCY-TA2，利用Android惡意程式家族PWNDROID3，跟新辨識Windows惡意程式家族PWNWIN1合併。這些威脅透過在一個新辨識跨平台行動OPERATIONDUALCRYPTOEX，偽造成流行的兌現比特幣手機應用程式，從而傳播出去。
另一新辨識攻擊者BBCY-TA3則參與經濟間諜活動，以手機通訊針對多個西方及南亞商界企業，針對所有中國境外化學企業。攻擊者跟BBCY-TA2共用攻擊架構。

APT組織OCEANLOTUS的一個新發現的跨平台間諜活動OPERATIONOCEANMOBILE，正在使用新辨識Android惡意程式家族PWNDROID1，此程式透過三組虛假手機應用來擴散。

APT組織BITTER發動的新辨識跨平台間諜活動OPERATIONDUALPAK的目標針對巴基斯坦軍隊，利用手機惡意程式PWNDROID2，透過虛假手機應用程式、短訊、WhatsApp和社交平台傳播擴散。

第二個則由CONFUCIUS發動的新辨識跨平台間諜活動OPERATIONDUALPAK2，利用最近克什米爾危機受國際關注，以JavaScript版面的交流應用程式擴散Windows惡意程式家族PWNWIN2，針對巴基斯坦政府及軍隊。

手機桌上電腦惡意程式合併

手機設備類型增加，已提供更快方法從目標取得敏感數據，由國家支援的APT組織的手機惡意程式，遠遠超過以往估計。報告揭露APT組織正活躍地把手機惡意程式，再跟傳統桌上電腦的惡意程式合併，APT組織更把攻擊目標從國內，轉移到國外。
BlackBerryCylance首席技術傳播官BrianRobison說：「利用手機設備漏洞而採取的行動激增，所發現的行動規模龐大，再把桌上電腦惡意程式行動合併至手機惡意程式，數個國家正採取行動。

BlackBerryCylance研究全名為《手機惡意程式及APT間諜活動︰持續增長、無處不在、跨平台的發展趨勢》Ｃ（MobileMalwareandAPTEspionage︰Prolific，Pervasive，andCross-Platform）

全文刊於2019年10月29日《星島日報》財經版「創科廣場」