惡意行動 App 將如何毀掉你的生活與生意？

行動裝置正快速成為數位使用者的裝置選擇，此一趨勢也對金融業帶來衝擊效應。新世代人類要求銀行必須具備行動親和性。美國聯邦儲備局調查顯示，行動銀行在 18-29 歲人口的使用率達到 67%。安全性是不採用行動銀行的主要顧慮因素。然而，行動化已成為一種無法阻擋的力量，因此金融業需要了解此一風險因素，針對安全威脅做好妥當的計畫。

何謂行動惡意程式？

一如任何惡意程式，行動惡意程式利用程式碼攻擊智慧型電話或類似的裝置。行動惡意程式歷史至少可以追朔至 2000 年，研究人員在當時偵測到第一個已知的惡意行動程式 – TIMOFONICA，2016 年則出現了威力強到讓 90% Android 用戶都躲不掉的「Godless」病毒。

Kaspersky lab 分析顯示，行動銀行木馬病毒的數量正在攀升中。2015 年期間，約 56,194 使用者至少遭行動銀行木馬攻擊過一次。

類型：間諜軟體與廣告軟體、木馬與病毒、釣魚 Apps

目前活動中的惡意程式可歸類為間諜軟體與廣告軟體、木馬與病毒、釣魚 apps 或傀儡攻擊等。它們共同的目的是要竊取高價值的個人資訊，以便於侵入系統。

• 間諜軟體和廣告軟體通常假扮成合法 app，用意是為了收集使用者與裝置資訊，作為未來攻擊的工具。
• 木馬劫持裝置並傳送未授權的文字簡訊。更常見的是一些具有能力可以重繪使用者螢幕的病毒，它們假扮成合法應用以竊取機密資訊例如銀行帳密和隨機密碼。
• 釣魚程式利用非法或改造的應用，將惡意內容傳送給使用者。

行動惡意程式利用的安全弱點和技巧

行動裝置支援多重平台，例如 iOS、Android、Windows 等。其中，iOS 和 Android 佔市場大宗，以下是一些遭惡用的相關安全弱點：

• Rooted 或越獄 (Jailbroken) 裝置：這些裝置提供行動作業系統的根 (root) 階層存取權。使用者能夠藉此修改裝置的預設行為，但同時也對應用程式構成極大的風險，因為取得「根」權限的程序會破壞裝置的安全模型。越獄裝置為惡意程式和非法應用提供一個感染和竊取資料的完美環境。

• 中間人攻擊：這類攻擊在裝置與伺服器通訊之間利用第三方漏洞，竊聽和更改通訊內容。由於行動裝置使用者傾向於利用飯店、咖啡廳及其他公共場所的免費無線網路，使得此一攻擊向量更形放大。

• 過時的作業系統：這對於 Android 使用者的影響超過 iOS 用戶。Android 裝置版本有很多不一致的現象。有些裝置或許仍在執行一些包含已知安全弱點的舊版本，成為惡意攻擊的溫床。

• 簡訊攔截：現代的調適性認證技術利用頻外 (out of band) 認證方法，而簡訊因此成為最常見的弱點。感染 Android 裝置的行動惡意程式能夠竊取傳送到裝置的隨機密碼。Android version 4.3 及較早版本允許惡意程式阻擋簡訊出現在收件箱，讓攻擊完全的靜默化。之後的 Android 版本修補這個漏洞，惡意程式無法再阻擋收件箱的簡訊顯示，而對於非預期的簡訊也會發出預警。

• 動作誘騙 (Focus Stealing)：動作劫持 (Activity Hijacking) 或行動釣魚 (Mobile Phishing) 利用 Android 的安全弱點，啟動一個非預期的惡意活動。惡意程式利用一個外觀類似的顯示畫面，誘騙使用者提供機密資料，此種攻擊經常出現在金融惡意程式。受影響的是 version 5 以前的 Android 版本，Google 已在其後的版本舒緩此一攻擊向量。

• 重新打包應用程式：惡意程式作者取得合法應用程式並予以重新打包，植入惡意碼然後利用垃圾郵件散播，有時甚至將應用上傳至 playstore/appstore 進行大量散佈。根據 Arxan Technologies 調查，已有 80% 受歡迎的 Android apps 和 75% iOS apps 被駭。

• 非越獄的 iOS 惡意程式：能夠感染 iOS 並且惡用 private APIs 的新衍生惡意程式 (例如 YiSpecter) 已被偵測出來。

• 更多其他惡意程式‧‧‧惡意程式作者不斷開發入侵行動裝置的新技術。

詐欺防護方案可避免貴客戶上當受騙

詐欺防護方案 (Fraud Protection Solution) 協助企業預防和偵測惡意程式，保護現代化行動應用程式。它運用一系列技術以評估裝置的安全完整性，並將這項資訊提供給應用程式和分享至企業的風險引擎，協助舒緩和修補威脅。關鍵功能包括：

• 偵測偽造的認證：檢查認證以協助預防中間人攻擊。這項功能藉由比對已儲存的資訊以檢查認證的有效性。

• 偵測 DNS 詐騙：解析伺服器名稱並比對已儲存的資訊，防範中間人攻擊。

• Jailbreak/Rooting 偵測：藉由檢查「根」權限以偵測裝置是否被破解。

• 惡意程式偵測：檢查入侵跡證並執行行為分析，以發現被安裝到裝置的惡意程式。

• 未更新／不安全作業系統偵測：SDK 能夠計算 Android Version/iOS version 並提供資訊給應用程式。

• 動作誘騙 (Focus Stealing) 偵測：這項功能讓應用程式能夠偵測是否遭非法應用程式劫持。MobileSafe 將為應用程式產生一個廣播事件 (broadcast event) 以回應這項威脅。

• 程式重新打包偵測：檢查 Android apps 簽署以確認合法性。iOS 程式的檢查包括計算 MD5 雜湊碼 (hash) 和驗證程序。

環境設定

F5 MobileSafe 功能可以在既有的 WebSafe 環境啟用。

• 使用以行動裝置為導向的預設值，建立／組態詐欺防護方案的 profile：

• 一旦完成組態後，當使用者存取行動 URL 時就會在 Alert Server 上出現預警訊息。

行動裝置為使用者帶來便利和輕鬆的線上服務存取，促成大量採納。由於人們對於這個領域的安全性了解有限，因此駭客正積極放大此一攻擊向量。F5 詐欺防護方案讓企業能夠檢視行動端點，防範現代化複雜威脅。