藏人遭 WhatsApp 網釣攻擊　iOS、Android 都無法倖免

有特定政治目的的行動網路詐騙行為，往往已成為攻擊異議份子的武器，這些武器倚靠的就是手機作業系統本身的漏洞，不論是iOS或Android。

加拿大網路安全研究人員近日發現一波網釣攻擊朝 iOS 及 Android 裝置而來，目標則是包括達賴喇嘛內務辦公室及西藏流亡政府在內的核心人士，而從技術手法來看，和之前維吾爾人遭到的攻擊很類似。

發現這個攻擊行動的多倫多公民實驗室將背後的駭客組織稱為毒鯉（Poison Carp），該組織利用 WhatsApp 傳送惡意網站連結，當不知情的用戶點選後即會導引到釣魚網站，上面的惡意程式即開採瀏覽器和 iOS、Android 作業系統的漏洞並暗中植入間諜軟體。

從 2018 年 11 月到 2019 年 5 月間，多位西藏團體的重要成員都從 WhatsApp 訊息接到個別客製、偽裝是非營利組織工作者、記者及其他人士的惡意連結。

研究人員還發現，「毒鯉」和最近中國對維吾爾族發動的兩宗攻擊之間有相當的技術重疊處，這兩宗行動分別為 Google 及安全公司 Volexity 發現。基於這點，研究團隊相信毒鯉背後也受到中國政府資助。

毒鯉開採了 8 個不同的 Android 瀏覽器漏洞，在受害裝置上安裝功能完備的全新 Android 間諜程式，稱為 Moonshine，此外也開採 iOS 漏洞後安裝間諜程式在 iPhone 或 iPad 上。

研究人員推斷這些攻擊程式顯然是抄襲自安全研究人士在 bug tracker 或 Github 網頁上還在發展中的程式。

研究人員觀察到從去年到今年，駭客對西藏人士發起 17 起惡意連結的攻擊行動，其中 12 起會下載 iOS 間諜程式。一旦安裝到用戶裝置上，惡意程式可讓攻擊者：

研究人員還觀察到駭客將用戶導引到釣魚網頁後下載一個看似合法的惡意應用－OAuth App，藉此取得受害用戶的 Gmail 帳號存取權。

毒鯉攻擊的對象包括藏人精神領袖達賴喇嘛的內務辦公室、藏人行政中央、西藏流亡議會，以及西藏人權團體及各組織的核心人物。

雖然這不是西藏政府第一次被網路攻擊，但研究人員表示毒鯉攻擊是「第一個有記錄對西藏團體發動的行動網釣攻擊。」而且和過去的行動相較，這次攻擊在社交工程手法更大幅提升。

上個月 Google 揭露疑似中國政府資助的駭客駭入 iPhone 漏洞以監控新疆維吾爾人，蘋果表示漏洞去年 2 月即已修補完成。

雖然這次開採的都不是零時差漏洞，不過安全研究人員建議使用者儘速升級到最新版作業系統以免成為攻擊受害者。