原标题: 近500万台手机被曝预装恶意软件 全球排名前列安卓系统手机品牌均上榜
网络安全公司Check Point的安全研究员Feixiang He、Bohdan Melnykov和Elena Root在本周三为了我们带来了一个重磅消息。他们发现,自2016年以来,一款被命名为“RottenSys”的恶意广告软件已经感染了近500万台移动设备,而涵盖的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金立等。
研究人员在一篇名为《RottenSys:完全不是安全的Wi-Fi服务(RottenSys: Not a Secure Wi-Fi Service At All)》的分析报告中对这一发现进行了详尽的分析。在下文中,我们将为各位读者展示这一份报告中的完整内容。
标题:
《RottenSys:完全不是安全的Wi-Fi服务(RottenSys: Not a Secure Wi-Fi Service At All)》
研究者:
Feixiang He,Bohdan Melnykov,Elena Root
主要调查结果:
自2016年以来,移动恶意广告软件RottenSys已感染近500万台设备;
迹象表明,恶意软件可能在早些时候就已经进入了供应链;
攻击者通过相同的C&C服务器测试了一个新的僵尸网络活动。
Check Point移动安全团队发现了一个已被广泛传播的新型恶意软件家族,针对近500万用户获取欺诈性的广告收入。在我们发现的恶意软件样本中,它被命名为“RottenSys”,最初它伪装成了系统Wi-Fi服务。
恶意软件如何运作?
最近,小米红米手机上的一个不寻常且自称“系统WIFI服务”的系统服务引起了我们的注意。我们的引擎显示此应用程序并不会向用户提供任何安全的Wi-Fi相关服务。相反,它要求许多敏感的Android权限,例如与Wi-Fi服务无关的无障碍服务权限、用户日历读取权限和静默下载权限。
图1:应用程序请求的权限列表
RottenSys的恶意行为
RottenSys使用两种逃避技术。第一种是推迟其操作一段时间,以避免被怀恶意应用程序和恶意活动之间存在联系。
作为其第二种逃避策略,RottenSys仅包含一个滴管组件(dropper),它最初不会显示任何恶意活动。一旦设备处于活动状态并安装了dropper,它就会联系其命令与控制(C&C)服务器,并向其发送活动所需的其他组件列表。这些组件则包含了实际的恶意代码,并在C&C服务器收到列表后从服务器上进行下载。
RottenSys在下载这些组件时,使用了DOWNLOAD_WITHOUT_NOTIFICATION权限,以保证下载是在“无提示”的情况下进行的,并且该权限并不需要任何用户交互。通常,恶意软件会下载三个附加组件。
在所有必要的组件下载后,RottenSys会使用一个名为“Small”的开源Android框架,这是一个Android应用程序虚拟化框架。该框架允许所有组件同时并排运行,并实现粗放广告网络的组合恶意功能,在设备的主屏幕上显示广告、弹出窗口或全屏广告。
RottenSys适用于使用“广点通”(腾讯广告平台)和百度广告交易平台进行广告欺诈操作。
图2:“Small”框架组合功能的代码片段
为了避免Android系统关闭其操作,RottenSys使用了另一个名为MarsDaemon的开源框架。虽然MarsDaemon能够保持进程活跃,但它也降低了设备的性能并十分消耗电池能量。一些Android论坛的用户已经注意到了这两个副作用以及广告活动,并开始了抱怨:
图3: 用户在小米论坛上反应主屏幕广告问题
图4:用户抱怨设备性能变差,分屏模式出现“系统WIFI服务”
还有许多其他类似的用户投诉,涉及“系统WIFI服务”的投诉最早可以追溯到2017年10月。
量身定制
根据我们的发现,RottenSys拥有一大批前面提到的有效载荷的变体(滴管和附加组件)。每个变体都针对不同的广告系列、设备类型、广告平台和传播渠道量身定制。
在观察到的恶意软件分销渠道名单中,我们看到了两个名称(“天湃浅装”和“天痉桌面”),这两个名称暗示可能与杭州一家手机供应链分销商“天派”存在关联。
