【偵破紀實】祕密安裝手機木馬竊取情報

來源：資訊時代的犯罪偵查，原創：Pieces0310

現在人倚賴手機處理一切日常事務，所有重要資訊都匯聚其中，一旦安裝了惡意App，就像開門揖盜，毫不設防，個人資訊任人取用。針對以下相關案例進行取證，不論嫌疑犯如何毀滅證據，總能從備份這個層面去尋找突破口，最終找出關鍵證據，順利將其繩之以法。

話說Tornado公司近年來並不平靜，又是接班人選問題，又是經營權之爭，一波未平一波又起，之前的諸多紛爭好不容易暫告一段落。但近幾個月以來，業界屢傳出不利於Tornado公司的風聲，直指該企業的核心技術等營業祕密已外流至競爭對手陣營。

人心惶惶個個都有嫌疑 

在一次高層幹部會議上，總裁宣佈為了查明是否真有營業祕密已遭到外洩的情況，決定向警方報案，同時責成核心小組成員全力配合警方調查。據知情人士透露，Tornado公司竟連核心小組的祕密會議所討論的內容也遭外流，不禁令人懷疑是否為有心人士聯合內鬼，企圖竊取機密或是想要搞垮整個公司。

在調查過程中，針對抓內鬼的部分，Tornado公司提供了一份名單，包括了在職員工以及離職員工在內，希望警方能夠快速鎖定可疑物件。

然而，警方在初步對相關人員的電腦及手機進行取證分析之後，暫時排除了名單當中成員涉案的可能性。

由於未能有突破性的進展，案情猶如陷入十里迷霧之中，令總裁感到憂心不已，核心小組裡的這幾個人都是總裁最為信任的人，不可能會是出賣公司的內鬼。此時，總裁的腦海裡突然閃過一幕情節，他憶及有幾回曾讓IT人員幫忙修手機，難不成會是在那樣的情況下被動了手腳？

毫無頭緒先從手機著手

經向警方表明上述情況後，專案調查小組火速將Tornado公司總裁和核心小組成員的手機，送至實驗室進行鑑識分析。鑑識人員R決定先從總裁所使用的手機下手，為了確保資料安全起見，R在訊號完全遮蔽的情況下，關閉了與遠端搜尋裝置的相關功能，避免資料有遭到遠端抹除的風險。

而為了進一步理清該手機內是否有惡意App潛伏其中，首先要讓該手機啟用Wi-Fi連向所準備好的熱點，以進行封包提取，並同時察看手機中執行程式的即時連線狀況。

在經歷一段時間的觀察之後，R留意到一個名稱怪異的程式，其Process ID為9583，如圖1所示。

▲圖1 發現一個名稱怪異的程式

R根據程式名稱中的關鍵字，查詢手機中所安裝的App，確有一個Package Name與那個怪異程式名稱完全相符的App存在其中（如圖2底線部分所示）。進一步查詢此App所在的路徑，並將其apk安裝檔案自手機中提取出來以進行分析，操作步驟如圖2所示。

▲圖2 將apk安裝檔自手機中提取出來進行分析

可疑App資料隨意存取

當對此apk檔進行分析時，檢視其所具備的許可權列表（圖3），映入眼簾的許可權之多著實令R感到吃驚不已。一旦將此apk安裝在手機內，此App將能夠在使用者渾然不覺的情況下存取所有資料，包括通訊錄、簡訊、行事曆、地理位置資訊等等重要資訊在內，甚至還具備可以在背景進行周圍環境錄音的能力。對於這個可以暗中收集使用者敏感性資料而不易被察覺的App，R給了它一個代號“Z”。

▲圖3 檢視apk檔所具備的許可權列表

R接著將“Z”儲存在手機中的整個資料夾匯出，仔細檢視裡頭的各型別檔案，尤其是資料庫檔案，當中可能會儲存所收集到的各種敏感性資料。果不其然，R在一個資料庫檔案中發現瞭如圖4所示的網頁瀏覽紀錄。

▲圖4 找到網頁瀏覽紀錄

不光是這樣而已，還包括LINE的聊天紀錄也是，存在一個名為Linelogs的Table之中，如圖5所示，顯見“Z”亦有側錄（類似旁路複製）LINE聊天紀錄的能力。

▲圖5 在一個名為Linelogs的Table內發現了LINE的聊天紀錄

於此同時，警方來到Thomas住處進行搜尋，這位Thomas就是總裁印象中曾將手機交予進行故障排除及維修的那位IT人員。Thomas顯然對警方的到來感到有些意外，表情及眼神透著一絲的不安，警方自其住處扣得膝上型電腦及手機後一同帶回警局。

抽絲剝繭膝上型電腦找尋線索

R在檢視Thomas的膝上型電腦時，在對各項痕跡進行分析之後，從郵件中得到了重要的線索。如圖6所示，這是一封提供帳號、密碼及登入網址的郵件，光從名稱難以判斷它是與何種服務有關聯，但從其內包含了“Monitor”的敏感字眼，可合理推論其與案情應有高度相關。

▲圖6 找到一封提供帳號、密碼及登入網址的郵件

R在以該封郵件中所提供的資訊登入後，赫然發現這便是可以檢視“Z”所收集到之資料的後臺，如圖7的儀表板所示。

▲圖7 發現可以檢視“Z”所收集到之資料的後臺

換言之，只要將“Z”安裝在使用者的手機內，再透過以瀏覽器登入後臺的方式，便可以對被監控物件的一舉一動了若指掌了。

R接著檢視後臺中記錄了哪些重要資訊，果然如同“Z”的許可權列表中所呈現的，確能收集使用者的地理位置資訊，如圖8所示。

▲圖8 找到所收集的地理位置資訊

R在核對過後臺中所記錄的資訊，與總裁手機中的資訊相符後，已幾乎可斷定Thomas的犯罪手法是，將“Z”偷偷安裝在總裁的手機中，令其以系統服務的形式偷偷竊取資料，且自動上傳至後臺。對照手機的網路連線狀況，亦可得知有對此後臺的IP位址進行加密傳輸，如圖9所示。

▲圖9 對後臺的IP位址進行加密傳輸

在警方向Thomas出示相關證據後，Thomas表示他確有偷偷安裝監控App在總裁手機之中，但只是因為好玩才試一下，自已不曾登入後臺，更不曾將登入後臺的賬號密碼交予其他人。

警方對其供詞抱持高度懷疑，從Thomas的銀行帳戶連續好幾個月陸續有大筆不明資金轉入的情況研判，此種對價關係非比尋常，不排除是Thomas將自後臺所收集到的重要情報，轉售給Tornado公司的競爭對手而得到的報酬。

R針對Thomas的手機進行取證，發現相當的“乾淨”，在其使用的聊天軟體LINE中竟然看不到幾筆聊天紀錄。Thomas供稱是最近才剛換新手機，且沒有處理好資料移轉之故，導致很多資料都不見了。

此一說詞完全無法令人信服，這擺明了應是Thomas努力滅證所致，至於舊手機如今在何處，Thomas依舊說詞反覆，一會兒說回收掉了，一會兒說上網拍賣了，但就是說不出個所以然來，R研判舊手機應是已遭到Thomas刻意滅證譭棄。同樣的情況亦發生在Thomas的膝上型電腦，取證團隊未能再發現其他與案情相關的跡證，警方專案小組內部也傳出打算就此結案的風聲。

結案在即加快辦案步伐

眼看著嫌疑犯Thomas可能因其處心積慮地進行滅證而能安全下莊之際，R仍不打算就此放棄，他嘗試著查詢有無手機的備份資料存在於嫌疑犯的膝上型電腦內，這樣的思路是基於人性及使用習慣而生的，一般人對於手機資料往往是很怕遺失的，因此通常會善用各種備份機制以確保手機資料安全。

如此一來，往往會造成連到底用了幾種型別的備份？共備了幾份？存放在哪裡？連使用者自已都搞不清楚。果不其然，在Thomas的膝上型電腦中有一個完整檔名為“msgstore.db.crypt12”的檔案引起了R的注意，至於它是跟什麼有關聯的檔案，R已瞭然於胸，這有可能就是破案的重要關鍵線索。

從這檔案的檔名“msgstore.db”進行研判，應就是Thomas手機上的WhatsApp聊天紀錄備份，至於“crypt12”，即代表其為加密型態的檔案。這也與WhatsApp現行備份機制會產生加密檔案的特性相吻合。

若以Hex Editor嘗試開啟此一檔案時，結果便會如圖10所示，內容根本完全無法辨識，亦可佐證其經過加密處理。

▲圖10 內容完全無法辨識

解密成功嫌犯俯首認罪

R便開始著手要對此加密備份檔進行解密，但還尚須一個元素，那就是WhatsApp儲存在手機內一個名為“key”的檔案（圖11），儘管因安全性的緣故，無法自手機中進行提取，幸而在Thomas膝上型電腦裡的備份資料夾中亦查得它的蹤跡，如此一來，解密所需的元素就齊全了。 

▲圖11 找到解密所需的key檔案

解密過程如圖12所示，選取要解密的備份檔案以及Key file即可，點選〔OK〕按鈕後開始解密。 

圖12 進行解密程式

果然順利解密成功，將結果匯入一個名為“msgstore.decrypted.db”的資料庫內，如圖13所示。

▲圖13 將結果匯入至資料庫內

R接著開啟此資料庫檔案，仔細地檢視後，果然發現Thomas與幾個可疑物件之間，提及情報交易和報酬等相關細節，如圖14所示。

▲圖14 找到重要關鍵證據

當警方向Thomas出示相關跡證後，Thomas面如死灰，自知再也無法狡賴，便一五一十地將如何在總裁的手機上安裝監控App，以及自後臺竊取了多少情報等等，全部和盤拖出。

Thomas不但是智慧型的罪犯，他從一開始便打定主意直接從總裁的手機下手，以竊取重要情報，是基於手機裡的App幾乎可說是包辦了使用者的一切食衣住行育樂等需求，因此若能自手機進行資料的收集，便等於掌握了被監控者的一切。

由這點看來，Thomas也深諳人的心理並充分利用人們依賴智慧手機太深的弱點。 

【作者注】取證所基於的思路，不外乎是從人性和使用習慣等層面下手，不論嫌疑犯是如何工於心計進行滅證，總還是能從備份這個層面去尋找突破口，不論這備份是在嫌疑犯的電腦、儲存媒體或是雲端之上皆不可輕易錯過。如此一來，就能掌握破案契機，順利將罪犯繩之以法。