近500萬台手機被曝預裝惡意軟體 榮耀、華為、小米等品牌均上榜

「用指尖改變世界」

網路安全公司Check Point的安全研究員Feixiang He、Bohdan Melnykov和Elena Root在本周三為了我們帶來了一個重磅消息。他們發現，自2016年以來，一款被命名為「RottenSys」的惡意廣告軟體已經感染了近500萬台移動設備，而涵蓋的品牌包括榮耀、華為、小米、OPPO、Vivo、三星和金立等。

研究人員在一篇名為《RottenSys：完全不是安全的Wi-Fi服務（RottenSys: Not a Secure Wi-Fi Service At All）》的分析報告中對這一發現進行了詳盡的分析。在下文中，我們將為各位讀者展示這一份報告中的完整內容。

標題：

《RottenSys：完全不是安全的Wi-Fi服務（RottenSys: Not a Secure Wi-Fi Service At All）》

研究者：

Feixiang He，Bohdan Melnykov，Elena Root

主要調查結果：

自2016年以來，移動惡意廣告軟體RottenSys已感染近500萬台設備；

跡象表明，惡意軟體可能在早些時候就已經進入了供應鏈；

攻擊者通過相同的C＆C伺服器測試了一個新的殭屍網路活動。

Check Point移動安全團隊發現了一個已被廣泛傳播的新型惡意軟體家族，針對近500萬用戶獲取欺詐性的廣告收入。在我們發現的惡意軟體樣本中，它被命名為「RottenSys」，最初它偽裝成了系統Wi-Fi服務。

惡意軟體如何運作？

最近，小米紅米手機上的一個不尋常且自稱「系統WIFI服務」的系統服務引起了我們的注意。我們的引擎顯示此應用程序並不會向用戶提供任何安全的Wi-Fi相關服務。相反，它要求許多敏感的Android許可權，例如與Wi-Fi服務無關的無障礙服務許可權、用戶日曆讀取許可權和靜默下載許可權。

圖1：應用程序請求的許可權列表

RottenSys的惡意行為

RottenSys使用兩種逃避技術。第一種是推遲其操作一段時間，以避免被懷惡意應用程序和惡意活動之間存在聯繫。

作為其第二種逃避策略，RottenSys僅包含一個滴管組件（dropper），它最初不會顯示任何惡意活動。一旦設備處於活動狀態並安裝了dropper，它就會聯繫其命令與控制（C＆C）伺服器，並向其發送活動所需的其他組件列表。這些組件則包含了實際的惡意代碼，並在C＆C伺服器收到列表後從伺服器上進行下載。

RottenSys在下載這些組件時，使用了DOWNLOAD_WITHOUT_NOTIFICATION許可權，以保證下載是在「無提示」的情況下進行的，並且該許可權並不需要任何用戶交互。通常，惡意軟體會下載三個附加組件。

在所有必要的組件下載後，RottenSys會使用一個名為「Small」的開源Android框架，這是一個Android應用程序虛擬化框架。該框架允許所有組件同時並排運行，並實現粗放廣告網路的組合惡意功能，在設備的主屏幕上顯示廣告、彈出窗口或全屏廣告。

RottenSys適用於使用「廣點通」（騰訊廣告平台）和百度廣告交易平台進行廣告欺詐操作。

圖2：「Small」框架組合功能的代碼片段

為了避免Android系統關閉其操作，RottenSys使用了另一個名為MarsDaemon的開源框架。雖然MarsDaemon能夠保持進程活躍，但它也降低了設備的性能並十分消耗電池能量。一些Android論壇的用戶已經注意到了這兩個副作用以及廣告活動，並開始了抱怨：

圖3： 用戶在小米論壇上反應主屏幕廣告問題

圖4：用戶抱怨設備性能變差，分屏模式出現「系統WIFI服務」

還有許多其他類似的用戶投訴，涉及「系統WIFI服務」的投訴最早可以追溯到2017年10月。

量身定製

根據我們的發現，RottenSys擁有一大批前面提到的有效載荷的變體（滴管和附加組件）。每個變體都針對不同的廣告系列、設備類型、廣告平台和傳播渠道量身定製。

在觀察到的惡意軟體分銷渠道名單中，我們看到了兩個名稱（「天湃淺裝」和「天痙桌面」），這兩個名稱暗示可能與杭州一家手機供應鏈分銷商「天派」存在關聯。

天派相關渠道貢獻了我們觀察到的受感染設備總數的49.2％。根據中國《國家企業信用信息公示系統》記錄的信息，天派提供從售前定製、在線/離線批發到客戶服務等多種服務。它涵蓋三星、宏達電、蘋果、小米、中興、酷派、聯想、華為等市場頂級品牌的區域銷售。

天派可能不是該運動的直接參与者。然而，這與我們的假設相關，即在購買之前惡意軟體就已經進入了用戶的設備。

效果如何？

我們設法進一步研究這種威脅，並獲得了能夠顯示此惡意活動真實程度的數據。

我們確定了RottenSys使用的兩台並行C＆C伺服器。我們還設法分析攻擊並定義攻擊者操作的單獨渠道，甚至確定向用戶顯示受感染設備和欺詐性廣告的數量。

衡量影響

根據我們的調查結果，RottenSys惡意軟體於2016年9月開始傳播。截至2018年3月12日，RothenSys感染了4,964,460台設備。受影響最大的移動設備品牌是榮耀、華為和小米。

隨著我們的調查進一步深入，我們發現了用於RottenSys初始滴管不同變體的更多C＆C伺服器。因此，我們相信受害者的真實人數可能會更多。

這一切都源自於「錢」

RottenSys是一個極具侵略性的廣告網路。僅在過去的10天中，它就出現了13,250,756次攻擊性廣告（在廣告行業被稱為「印象」，指廣告信息接觸受眾成員的一次機會），其中548,822次被轉化為廣告點擊次數。舉例來說，我們保守估計每次點擊收益為20美分、每千次「印象」收益為40美分。根據這些數據進行計算，僅在過去十天內，攻擊者就從其惡意操作中賺取了超過11.5萬美元。

探索新的業務領域

在調查RottenSys時，我們發現的證據表明攻擊者所做的事情遠比僅僅展示不請自來的廣告更具破壞性。顯然，自2018年2月初以來，攻擊者一直在通過相同的C＆C伺服器測試新的殭屍網路活動。

攻擊者計劃利用騰訊的Tinker應用程序虛擬化框架作為dropper機制。意圖分發的有效載荷可以將受害者設備變成殭屍網路的從屬設備。這個殭屍網路將具有廣泛的功能，包括靜默安裝額外的應用程序和UI自動化。有趣的是，殭屍網路的一部分控制機制是在Lua腳本中實現的。在沒有干預的情況下，攻擊者可以重新使用他們現有的惡意軟體分發渠道，並很快掌握數百萬設備的控制權。

緩解建議

定位在Android主屏幕上顯示的惡意廣告的來源對於普通用戶來說始終是具有挑戰性的，緩解更加困難。幸運的是，如果用戶知道要刪除的確切軟體包名稱，則可以卸載RottenSys dropper。如果你的全新手機在主屏幕上遭遇未知廣告，請轉到Android系統設置，然後轉到應用管理器，查找下表中展示的惡意應用並將其卸載：

最後的想法

這已經不是我們第一次看到移動設備在它們接觸到普通消費者之前就已經遭到了破壞。僅在兩周前，來自俄羅斯的防病毒供應商Dr.Web就報告了類似的情況，其中惡意軟體被嵌入在了一些低價為的Android智能手機固件中。

雖然受影響的品牌和惡意軟體機制這次在很大程度上有所不同，但所反應出的問題是非常現實且一致的。在最終用戶購買Android設備之前，誰應該保護它？如何讓普通用戶享受到安全的全新移動設備？沒有直接的答案。行業必須採取行動，因為數字安全是一項十分關鍵的消費權利。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！