預防RottenSys惡意攻擊 可從用戶自查系統做起

安卓手機遭RottenSys惡意攻擊 360揭秘其花式「隱匿術」 預防RottenSys惡意攻擊 可從用戶自查系統做起 前不久，CheckPoint公司向大眾披露了一款名為「RottenSys」（墮落的系統）的惡意軟體，該軟體會在入侵用戶手機之後，偽裝成「系統Wi-Fi服務」等應用，並通過不定期給用戶推送廣告或指定的APP來獲取利益，這一非法行為輕則導致手機出現卡頓現象，重則甚至侵害到用戶信息安全。隨後，移動安全聯盟（MSA）成員單位360、安天對此事件進行了追蹤及詳細技術分析。360安全團隊表示，確認「RottenSys」主要是通過「刷機」或APP（再root）的方式，在手機到達用戶手中前，在目標上安裝部分RottenSys應用程序，從而達到感染傳播的效果。

對此，360安全團隊對「RottenSys」進行技術分析，並出具了《RottenSys事件分析報告》。報告中，360安全專家指出，該軟體的主要偽裝有多種類型，其中以「系統Wi-Fi服務」程序為主。而為了提高自身隱蔽性，靜默安裝許可權獲取、推遲操作設置、惡意模塊雲端下載等都是該程序精通的隱藏方式。而其主要傳播途徑則是經由一家名為「Tian Pai」的電話分銷平台進行。據統計，從2018年1月1日至3月15日，安卓手機的感染總量已超18萬。

「RottenSys」惡意軟體 多種偽裝下的暴利工具

據報告顯示，RottenSys惡意軟體的偽裝應用不只有「系統Wi-Fi服務」這一種，還包括「每日黃曆」、「暢米桌面」等其他程序。實際上，這些偽裝應用並非手機系統自帶，而是用戶在未知第三方應用商店下載APP時意外感染。

「RottenSys」相關的應用程

此外，還有可能是在手機出廠前後、用戶購買前的某一環節，RottenSys「不請自來」。360安全專家稱，「Tian Pai」便是RottenSys乘虛而入的主要平台。也正因此，廠商被感染量的高低主要取決於該廠商在「Tian Pai」平台的出貨量，出貨量較高的廠商便成為了「RottenSys」感染的一個重要佔比。

而RottenSys感染目標設備的主要途徑分為軟硬體兩種方式。軟體層面，不法分子間接通過APP安裝或ROOT目標設備，讓RottenSys潛伏於用戶手機；硬體層面，不法分子則會直接接觸目標設備，利用刷機的方法直接將目標系統變更，手機系統便會在用戶不知情下藏有RottenSys。

鑽研花式「隱匿術」只為暗度陳倉

據了解，RottenSys團伙活動始於2016年9月，在2017年經歷爆髮式增長後進入穩定增長期。相關數據顯示，3月3日至12日僅10天時間，RottenSys惡意軟體便產生了1325萬次廣告，其中超54萬次轉化為廣告點擊，並為該團伙盈利11.5萬美元。從如此高的「轉化率」和「營業額」足以看出，RottenSys惡意軟體隱蔽性和盈利性極高。

相關控制域名的活躍度

RottenSys惡意軟體之所以具備較高隱蔽性，主要在於其自身有多種「隱匿術」加持。以所謂的系統Wi-Fi服務為例，它實質上為一個「下載器」並與其控制伺服器通訊，在接受到不法分子的下載指令後，便會自行實施廣告推廣服務。

首先，「系統Wi-Fi服務」會偽裝成系統服務進程，打著「向用戶提供任何Wi-Fi相關服務」的旗號招搖過市。由於很多用戶對這一偽裝並不了解，大多數會誤認為該程序不存在威脅，就不會進行刪除或卸載的操作。另外，「系統Wi-Fi服務」還擁有巨大的敏感許可權列表，如靜默安裝下載等，這也便更利於其暗中行事。一旦該程序入侵用戶手機，就會有一大波廣告來襲。

「系統Wi-Fi服務」暗藏於用戶系統中

為避免用戶短時間內察覺出異常，「系統Wi-Fi服務」還有推遲操作的「應對策略」，用戶中招後較長時間內它才會嘗試接收、推送彈窗廣告。而為了將惡意推廣變得更加靈活，「系統Wi-Fi服務」的惡意模塊則通過雲端下載，並且使用開源的輕量級插件框架Small，在保證惡意模塊隱秘載入的同時，促使模塊之間代碼不相互依賴。當然了，用戶想要藉助簡單的關機和重啟操作，也是清除不掉該惡意軟體的，究其原因主要在於「系統Wi-Fi服務」使用了開源框架、廣播等手段來確保自身長期存活。

在此，360安全專家再次提醒廣大用戶，購買手機或是下載安裝APP，最好通過官方、正規渠道，第三方銷售平台或應用商店都存有一定的安全隱患。此外，在使用手機的過程中，還可藉助360手機衛士等安全管理軟體，對應用程序及安裝包進行安全掃描，以防惡意軟體暗藏其中，一經發現，可使用360手機衛士儘早查殺，避免其給用戶帶來更為慘重的後果。

在大安全時代，用戶所面臨的移動威脅遠不止此，詐騙電話、欺詐簡訊、釣魚鏈接、木馬病毒、勒索軟體等，也是威脅用戶移動安全的主要因素。因此，用戶的移動安全更需要全方位守護，360手機衛士便獨家創立「8+1」防護體系，為用戶實時攔截釣魚網站、攔截木馬病毒、攔截詐騙電話、攔截詐騙簡訊、檢測支付環境、保護交易簡訊、檢測Wi-Fi安全、識別盜版軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！