RottenSys: 真假 Wi-Fi 系统服务

作者:星期四, 三月 15, 20180
分享:

上周末,Check Point移动安全团队注意到了出现在我们用户小米手机上的可疑“系统 WIFI 服务”。经过一周的追踪调查,我们发现了一个活跃中的手机恶意广告推送团伙及其相关活动。由于本次事件始于一个伪装成安卓系统服务的恶意软件,我们将此次事件命名为RottenSys。

通过对已知数据的深入分析,我们认为:

  • RottenSys团伙活动始于 2016 年 9 月,团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期;
  • 截止今年 3 月 12 日累计受感染安卓手机总量高达 496 万 4 千余部;受感染的手机中,每天约有 35 万部轮番受到恶意广告推送的侵害;
  • 受感染手机品牌分布(前五):荣耀、华为、小米、OPPO, vivo;
  • 仅 3 月 3 日到 12 日 10 天期间,RottenSys团伙向受害手机用户强行推送了 1325 万余次广告展示,诱导获得了 54 万余次广告点击。保守估计不正当广告收入约为 72 万人民币。

用户影响:

受感染手机用户会感受到手机运行速度大幅变慢,并伴以可疑“系统 WIFI 服务”频繁崩溃。

以小米用户论坛信息为例,我们发现从 17 年 10 月底开始出现了多个类似用户报告。然而几乎所有用户将问题归咎于系统。由此可见RottenSys假扮系统软件的策略相当成功。

病毒简述:

RottenSys初始病毒激活后,从黑客服务器静默下载并加载 3 个恶意模块。等待 1 至 3 天后,开始尝试接收、推送全屏或弹窗广告。病毒使用了由Wequick开发的Small开源架构进行隐秘的恶意模块加载,并使用另一个开源项目MarsDaemon来完成长期系统驻留、 避免安卓关闭其后台程序。

溯源简述:

RottenSys初始病毒的数字签名证书不属于任何已知小米移动生态圈证书,并且它不具备任何系统 Wi-Fi 相关的功能。用排除法,在对“系统 WIFI 服务”安装信息仔细观测及大量额外数据分析后,我们认为该恶意软件很可能安装于手机出厂之后、用户购买之前的某个环节。据进一步推算,大约 49.2%的已知RottenSys感染于此类方式。

受影响用户问题排除方法:

值得庆幸的是,大多数情况下,RottenSys初始恶意软件安装在手机的普通存储区域(而非系统保护区域)。受影响用户可以自行卸载。如果您怀疑自己可能是RottenSys受害者,您可以尝试在安卓系统设置的 App 管理中寻找以下可能出现的软件并进行卸载:

一些想法:

这已经不是第一次手机信息安全圈发现手机在到达最终用户手上之前就被安插了恶意软件。 Dr. Web 等友商陆陆续续披露过类似的事件。不同的团伙,不同的恶意软件,相同的线下传播手法。写在消费者权益日之时,我们不禁想问,除了保证普通用户购买到硬件质量合格的手机以外,我们是否忽略了用户对一个洁净安全的初始系统的需求?我们怎样才能确保用户享用到这样一个令人放心的初始系统?这是一个摆在多个产业、机构面前的大课题。 Check Point团队正在积极协助有关政府部门进行进一步调查。我们也乐于协助相关手机厂商通知已知受影响用户。

 

分享:

相关文章

写一条评论

 

 

0条评论