通過(guò)對已知數據的深入分析,我們認為:
- RottenSys 團伙活動(dòng)始于 2016 年 9 月,團伙活動(dòng)在 2017 年 7 月經(jīng)歷爆發(fā)式增長(cháng)后進(jìn)入穩定增長(cháng)期。
- 截止今年 3 月 12 日累計受感染安卓手機總量高達 496 萬(wàn) 4 千余部;受感染的手機中,每天約有 35 萬(wàn)部輪番受到惡意廣告推送的侵害。
- 受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。
- 僅 3 月 3 日到 12 日 10 天期間,RottenSys 團伙向受害手機用戶(hù)強行推送了 1325 萬(wàn)余次廣告展示,誘導獲得了 54 萬(wàn)余次廣告點(diǎn)擊。保守估計不正當廣告收入約為 72 萬(wàn)人民幣。
用戶(hù)影響
受感染手機用戶(hù)會(huì )感受到手機運行速度大幅變慢,并伴以可疑“系統 WIFI 服務(wù)”頻繁崩潰。
以小米用戶(hù)論壇信息為例,我們發(fā)現從 17 年 10 月底開(kāi)始出現了多個(gè)類(lèi)似用戶(hù)報告。然而幾乎所有用戶(hù)將問(wèn)題歸咎于系統。由此可見(jiàn) RottenSys 假扮系統軟件的策略相當成功。
病毒簡(jiǎn)述
RottenSys 初始病毒激活后,從黑客服務(wù)器靜默下載并加載 3 個(gè)惡意模塊。等待 1 至 3 天后,開(kāi)始嘗試接收、推送全屏或彈窗廣告。病毒使用了由 Wequick 開(kāi)發(fā)的 Small 開(kāi)源架構進(jìn)行隱秘的惡意模塊加載,并使用另一個(gè)開(kāi)源項目 MarsDaemon 來(lái)完成長(cháng)期系統駐留、 避免安卓關(guān)閉其后臺程序。
溯源簡(jiǎn)述
RottenSys 初始病毒的數字簽名證書(shū)不屬于任何已知小米移動(dòng)生態(tài)圈證書(shū),并且它不具備任何系統 Wi-Fi 相關(guān)的功能。用排除法,在對“系統 WIFI 服務(wù)”安裝信息仔細觀(guān)測及大量額外數據分析后,我們認為該惡意軟件很可能安裝于手機出廠(chǎng)之后、用戶(hù)購買(mǎi)之前的某個(gè)環(huán)節。據進(jìn)一步推算,大約 49.2%的已知 RottenSys 感染于此類(lèi)方式。
受影響用戶(hù)問(wèn)題排除方法
值得慶幸的是,大多數情況下,RottenSys 初始惡意軟件安裝在手機的普通存儲區域(而非系統保護區域)。受影響用戶(hù)可以自行卸載。如果您懷疑自己可能是 RottenSys 受害者,您可以嘗試在安卓系統設置的 App 管理中尋找以下可能出現的軟件并進(jìn)行卸載:
一些想法
這已經(jīng)不是第一次手機信息安全圈發(fā)現手機在到達最終用戶(hù)手上之前就被安插了惡意軟件。 Dr. Web 等友商陸陸續續披露過(guò)類(lèi)似的事件。不同的團伙,不同的惡意軟件,相同的線(xiàn)下傳播手法。寫(xiě)在消費者權益日之時(shí),我們不禁想問(wèn),除了保證普通用戶(hù)購買(mǎi)到硬件質(zhì)量合格的手機以外,我們是否忽略了用戶(hù)對一個(gè)潔凈安全的初始系統的需求?我們怎樣才能確保用戶(hù)享用到這樣一個(gè)令人放心的初始系統?這是一個(gè)擺在多個(gè)產(chǎn)業(yè)、機構面前的大課題。 Check Point 僅希望拋磚引玉,積極尋求合作,為信息安全盡綿薄之力。
Check Point 團隊正在積極協(xié)助有關(guān)政府部門(mén)進(jìn)行進(jìn)一步調查。我們也樂(lè )于協(xié)助相關(guān)手機廠(chǎng)商通知已知受影響用戶(hù)。
更多信息
https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/
