Lacoon：中國政府放出手機木馬間諜程式監控香港佔中民眾

新創的行動安全業者Lacoon Mobile Security指出，他們發現一個鎖定Android與iOS的行動木馬程式，可監控手機的通訊錄、簡訊、通話紀錄、裝置ID、瀏覽紀錄，或檔案等。Lacoon認為，這是由中國政府主導的攻擊，並鎖定香港的抗議群眾。

Lacoon技術長Ohad Bobrov表示，兩周前就有不明電話號碼藉由Whatsapp假冒Code4HK傳遞網釣訊息，訊息內容為「看看這個由Code4HK團隊為了協調佔中行動所設計的Android程式」（Check out this Android app designed by Code4HK, group of activist coders, for the coordination of Occupy Central）。

Code4HK是一個期望透過程式改變香港的組織，並推動香港政府的透明化，屬於支持香港邁入真普選的陣營。

然而，Lacoon發現，當使用者點選該連結後，裝置就會感染遠端存取行動木馬程式（Mobile Remote Access Trojan，mRAT），可該程式可用來監控與收集使用者的通訊，顯示駭客假冒了Code4HK的名義進行木馬程式攻擊。

Bobrov說明，使用者點選Whatsapp訊息中所附的連結後，就會自動下載一個.apk檔案，安裝後會要求使用者更新該程式，同意更新後就會啟動該程式的間諜功能，且幾乎可以取得裝置上的所有資訊，涵蓋通訊錄、簡訊、通話紀錄、所在地、照片及檔案、電子郵件、瀏覽紀錄、裝置ID、處理器/記憶體/網路資訊，此外，它還能上傳檔案至使用者裝置，也可透過使用者裝置撥打電話，或是刪除裝置上的檔案。

不僅僅是Android用戶，iOS用戶也可能受駭。不過，由於iOS的安全機制較為嚴謹，Lacoon尚不確定iOS裝置的感染途徑，推測已越獄的使用者才會受到Xsser mRAT的感染。Lacoon把針對Android的惡意程式稱為mRAT，把鎖定iOS裝置的惡意程式稱為Xsser mRAT，不論是mRAT與Xsser mRAT都聽命於同一命令暨控制伺服器（C&C server）。

歸納該惡意程式鎖定的對象、自命令暨控制伺服器取得的資料、惡意程式的跨平台特性，以及該惡意程式的精密程度，Lacoon相信這應該是由中國政府主導的攻擊行動。

Bobrov指出，同時鎖定Android與iOS裝置的跨平台攻擊非常少見，應該可能有非常大型的組織或國家支撐。雖然先前市場也曾出現iOS木馬程式，但Xsser mRAT則是迄今最精密，功能也最強大的一款。（編譯/陳曉莉）