安卓手機(jī)遭惡意攻擊，揭秘RottenSys的花式“隱匿術(shù)”

前不久，CheckPoint公司向大眾披露了一款名為“RottenSys”(墮落的系統(tǒng))的惡意軟件，該軟件會(huì)在入侵用戶手機(jī)之后，偽裝成“系統(tǒng)Wi-Fi服務(wù)”等應(yīng)用，并通過(guò)不定期給用戶推送廣告或指定的APP來(lái)獲取利益，這一非法行為輕則導(dǎo)致手機(jī)出現(xiàn)卡頓現(xiàn)象，重則甚至侵害到用戶信息安全。

隨后，移動(dòng)安全聯(lián)盟(MSA)成員單位360、安天對(duì)此事件進(jìn)行了追蹤及詳細(xì)技術(shù)分析。安全團(tuán)隊(duì)表示，確認(rèn)“RottenSys”主要是通過(guò)“刷機(jī)”或APP(再root)的方式，在手機(jī)到達(dá)用戶手中前，在目標(biāo)上安裝部分RottenSys應(yīng)用程序，從而達(dá)到感染傳播的效果。

對(duì)此，安全團(tuán)隊(duì)對(duì)“RottenSys”進(jìn)行技術(shù)分析，并出具了《RottenSys事件分析報(bào)告》。報(bào)告中，該軟件的主要偽裝有多種類型，其中以“系統(tǒng)Wi-Fi服務(wù)”程序?yàn)橹?。而為了提高自身隱蔽性，靜默安裝權(quán)限獲取、推遲操作設(shè)置、惡意模塊云端下載等都是該程序精通的隱藏方式。而其主要傳播途徑則是經(jīng)由一家名為“Tian Pai”的電話分銷平臺(tái)進(jìn)行。據(jù)統(tǒng)計(jì)，從2018年1月1日至3月15日，安卓手機(jī)的感染總量已超18萬(wàn)。

“RottenSys”惡意軟件 多種偽裝下的暴利工具

據(jù)報(bào)告顯示，RottenSys惡意軟件的偽裝應(yīng)用不只有“系統(tǒng)Wi-Fi服務(wù)”這一種，還包括“每日黃歷”、“暢米桌面”等其他程序。實(shí)際上，這些偽裝應(yīng)用并非手機(jī)系統(tǒng)自帶，而是用戶在未知第三方應(yīng)用商店下載APP時(shí)意外感染。

此外，還有可能是在手機(jī)出廠前后、用戶購(gòu)買(mǎi)前的某一環(huán)節(jié)，RottenSys“不請(qǐng)自來(lái)”。安全專家稱，“Tian Pai”便是RottenSys乘虛而入的主要平臺(tái)。也正因此，廠商被感染量的高低主要取決于該廠商在“Tian Pai”平臺(tái)的出貨量，出貨量較高的廠商便成為了“RottenSys”感染的一個(gè)重要占比。

而RottenSys感染目標(biāo)設(shè)備的主要途徑分為軟硬件兩種方式。軟件層面，不法分子間接通過(guò)APP安裝或ROOT目標(biāo)設(shè)備，讓RottenSys潛伏于用戶手機(jī);硬件層面，不法分子則會(huì)直接接觸目標(biāo)設(shè)備，利用刷機(jī)的方法直接將目標(biāo)系統(tǒng)變更，手機(jī)系統(tǒng)便會(huì)在用戶不知情下藏有RottenSys。

鉆研花式“隱匿術(shù)”只為暗度陳倉(cāng)

據(jù)了解，RottenSys團(tuán)伙活動(dòng)始于2016年9月，在2017年經(jīng)歷爆發(fā)式增長(zhǎng)后進(jìn)入穩(wěn)定增長(zhǎng)期。相關(guān)數(shù)據(jù)顯示，3月3日至12日僅10天時(shí)間，RottenSys惡意軟件便產(chǎn)生了1325萬(wàn)次廣告，其中超54萬(wàn)次轉(zhuǎn)化為廣告點(diǎn)擊，并為該團(tuán)伙盈利11.5萬(wàn)美元。從如此高的“轉(zhuǎn)化率”和“營(yíng)業(yè)額”足以看出，RottenSys惡意軟件隱蔽性和盈利性極高。

RottenSys惡意軟件之所以具備較高隱蔽性，主要在于其自身有多種“隱匿術(shù)”加持。以所謂的系統(tǒng)Wi-Fi服務(wù)為例，它實(shí)質(zhì)上為一個(gè)“下載器”并與其控制服務(wù)器通訊，在接受到不法分子的下載指令后，便會(huì)自行實(shí)施廣告推廣服務(wù)。

首先，“系統(tǒng)Wi-Fi服務(wù)”會(huì)偽裝成系統(tǒng)服務(wù)進(jìn)程，打著“向用戶提供任何Wi-Fi相關(guān)服務(wù)”的旗號(hào)招搖過(guò)市。由于很多用戶對(duì)這一偽裝并不了解，大多數(shù)會(huì)誤認(rèn)為該程序不存在威脅，就不會(huì)進(jìn)行刪除或卸載的操作。另外，“系統(tǒng)Wi-Fi服務(wù)”還擁有巨大的敏感權(quán)限列表，如靜默安裝下載等，這也便更利于其暗中行事。一旦該程序入侵用戶手機(jī)，就會(huì)有一大波廣告來(lái)襲。

為避免用戶短時(shí)間內(nèi)察覺(jué)出異常，“系統(tǒng)Wi-Fi服務(wù)”還有推遲操作的“應(yīng)對(duì)策略”，用戶中招后較長(zhǎng)時(shí)間內(nèi)它才會(huì)嘗試接收、推送彈窗廣告。而為了將惡意推廣變得更加靈活，“系統(tǒng)Wi-Fi服務(wù)”的惡意模塊則通過(guò)云端下載，并且使用開(kāi)源的輕量級(jí)插件框架Small，在保證惡意模塊隱秘加載的同時(shí)，促使模塊之間代碼不相互依賴。當(dāng)然了，用戶想要借助簡(jiǎn)單的關(guān)機(jī)和重啟操作，也是清除不掉該惡意軟件的，究其原因主要在于“系統(tǒng)Wi-Fi服務(wù)”使用了開(kāi)源框架、廣播等手段來(lái)確保自身長(zhǎng)期存活。

在此，安全專家再次提醒廣大用戶，購(gòu)買(mǎi)手機(jī)或是下載安裝APP，最好通過(guò)官方、正規(guī)渠道，第三方銷售平臺(tái)或應(yīng)用商店都存有一定的安全隱患。此外，在使用手機(jī)的過(guò)程中，還可借助安全管理軟件，對(duì)應(yīng)用程序及安裝包進(jìn)行安全掃描，以防惡意軟件暗藏其中，一經(jīng)發(fā)現(xiàn)，可盡早查殺，避免其給用戶帶來(lái)更為慘重的后果。