這款惡意軟體，新的殭屍網路正在全球蔓延！

最新 03-19

GIF

【警告!!!】

RottenSys，

一款手機廣告惡意軟體，

自2016年開始已經累計感染接近500萬設備。

通過分析C&C伺服器，

發現一個新的殭屍網路正在形成。

▼

主要發現

· RottenSys是一款手機廣告惡意軟體，自2016年開始已經累計感染接近500萬設備。

· 一些消息顯示該惡意軟體可以很快地進入供應鏈中。

· 攻擊者已經通過同樣的C&C伺服器測試了新的殭屍網路。

惡意軟體運作流程

康眾智防網路安全攻防研究所的安全團隊發現一款感染了將近500萬用戶進行欺騙廣告的惡意軟體家族——RottenSys，該惡意軟體最早的時候偽裝成系統WIFI服務。

最近，紅米手機中出現一款自稱是系統WiFi服務的應用，研究人員發現該應用不向用戶提供任何的安全WiFi相關的服務。該應用會請求一些敏感的安卓許可權，包括accessibility service許可權，用戶日曆讀取許可權，靜默下載許可權，這些都是與WiFi服務無關的。

圖1：RottenSys請求的許可權列表

RottenSys的惡意操作

RottenSys使用了兩種避免檢測的技術。首先是設定延遲操作的時間，避免將惡意應用和惡意活動建立連接。第二個是含有dropper組件，該組件是不進行任何惡意活動的。當設備啟動時，dropper就會安裝，並與C&C伺服器連接，C&C會發送該部件活動需要的其他部件。這些組件會在dropper接收到下載列表後從C&C伺服器下載，組件中含有真實的惡意代碼。

RottenSys用DOWNLOAD_WITHOUT_NOTIFICATION許可權在不需要用戶交互的情況下靜默地下載這些惡意組件。通常，惡意軟體會下載3個額外的組件。當必要的組件都下載完成後，RottenSys會用使用開源的安卓應用虛擬化框架『Small』（github.com/wequick/small）。該框架允許所有的組件同時運行，在設備的主屏上展示廣告，比如彈窗和全屏廣告。RottenSys使用的是廣電通和百度廣告平台進行廣告欺騙行為。

圖2：small 框架融合功能的代碼

為了避免被安卓系統發現並停止這些行為，RottenSys使用了另一個開源框架MarsDaemon (github.com/Marswin/MarsDaemon)。MarsDaemon會保持進程活動，也會影響設備的性能和電量使用。小米論壇中出現了關於該應用的討論。

圖3：小米論壇中關於應用廣告的帖子

圖4：有用戶說Rottensys變種的活動使設備性能降低了

有許多的用戶都表達了同樣的抱怨。最早的可以追溯到2017年10月。

改進的行為

研究發現，RottenSys有許多的payload變種。每個變種適用於不同的行動、設備類型、廣告平台和傳播渠道。

在上面的惡意軟體傳播渠道中，天湃淺裝和天湃桌面可能與一家杭州的手機供應分銷商——杭州天湃網路科技有限公司有關。通過天湃感染的設備佔了所有感染設備總數的49.2%，工商總局的註冊信息顯示，天湃科技的主營業務是網路技術、計算機軟硬體的技術開發、技術服務、技術諮詢、成果轉讓；計算機系統集成。其官網信息顯示杭州天湃網路科技有限公司，是一家電子商務貿易有限公司。公司主營業務涵蓋了手機批發、手機實體零售、手機網路銷售、手機售後維修、手機軟體下載及系統的更新，是一家集售前與售後為一體的手機銷售服務公司。公司與三星、HTC、蘋果、小米、中興、酷派、聯想、華為等國內外知名手機廠商建立了紮實合作基礎，同時與浙江移動公司達成了良好的戰略合作協議。

目前該網站已無法正常訪問，顯示正在改版中

天湃可能並沒有直接參与該惡意活動。這是基於惡意軟體在用戶購買前就進入用戶設備中了的假設。

效果和影響

研究人員會進一步收集數據來查看惡意活動的範圍影響。

RottenSys應該是從2016年9月就開始運行了，截止2018年3月12日，一共有496萬設備被感染，受影響的品牌有榮耀、華為、小米等。