站長資訊網近期,國外安全廠商CheckPoint 公司發布了有關惡意廣告軟件RottenSys的報告,報告中提到中國地區多款安卓手機都被安裝了一個名為RottenSys的手機惡意軟件,目前已經有許多安卓移動設備有被感染的跡象。 作為移動安全聯盟成員的360,對該樣本進行了追蹤及詳細技術分析,并第一時間把RottenSys相關原理分析同步給了移動安全聯盟。隨后,360安全團隊還出具了《RottenSys事件分析報告》。
隱秘傳播:設備到手前就已被RottenSys潛伏
報告中指出,RottenSys用刷機或ROOT目標設備等方式,在供應環節上預裝在全新的智能手機中,然后通過一家名為“Tian Pai”的電話分銷平臺來發貨。也就是說,在手機到達用戶手中前,RottenSys就已經潛伏其中,從而達到感染傳播的效果。
RottenSys在感染了安卓手機后,便會偽裝成“系統 Wi-Fi服務”等應用,并通過不定期給用戶推送廣告或指定APP來盈利,給安卓手機用戶造成了一定的困擾。
不過,RottenSys惡意軟件的偽裝應用不只有“系統Wi-Fi服務”這一種,還包括“每日黃歷”、“暢米桌面”等其他程序。其中,像“系統Wi-Fi服務”這種,由于大多數普通用戶很難對這樣的偽裝做出正確判斷,因此惡意軟件的存活也就變得顯而易見。
圖1:RottenSys相關的應用程序
隱身攻擊:讓設備變成“傀儡”瘋狂吸金
在達到感染目的之后,該惡意軟件便會發動攻擊,用戶不但會被廣告纏身,連手機效能也會被拖累。
一般來說,RottenSys入侵后就會偽裝成系統服務進程。然后,RottenSys還會獲取巨大的敏感權限列表,其中包括像靜默下載這樣的權限,使得用戶很難察覺到惡意軟件的更新、推廣,而且還會使用某些手段使得惡意程序在被感染設備關機或重啟之后,仍能輕易啟動,以此來實現下載惡意廣告插件,給用戶推送廣告的目的。
圖2:惡意程序偽裝成“系統Wi-Fi服務”
之后,RottenSys就會變本加厲,它為了實現長期系統駐留、避免安卓關閉其后臺程序,還會進行推遲操作,入侵后在較長一段時間內才開始嘗試接收、推送彈窗廣告。另外,惡意模塊的加載也非常隱秘,并且模塊之間代碼不相互依賴,這使得惡意推廣變得更加靈活。
據統計,僅在短短10天時間內,RottenSys惡意軟件便產生了1325萬次廣告,其中超54萬次轉化為廣告點擊,并為其作者盈利11.5萬美元。由此可見,RottenSys的目的就是讓中招設備成為傀儡,利用廣告點擊等方式不斷為自己吸金,同時為了不被安全軟件和研究人員發現,還給自己披上了“隱身斗篷”企圖蒙混過關。
面對如此隱蔽而又猖狂的惡意軟件,360手機衛士安全專家在此提醒廣大用戶,購買手機或是下載安裝APP,最好通過官方、正規渠道,盡量避免“刷機”等存在安全隱患的行為。此外,在使用手機的過程中,還可安裝360手機衛士等安全管理軟件,及時對應用程序及安裝包進行安全掃描,避免類似RottenSys的“潛伏者”帶來危害。
