宣城信息港

当前位置: 首页 >体育

安卓手机遭恶意攻击揭秘RottenSys

来源: 作者: 2019-05-15 00:53:55

前不久,CheckPoint公司向大众表露了一款名为RottenSys(腐化的系统)的恶意软件,该软件会在入侵用户之后,伪装成系统Wi-Fi服务等应用,并通过不定期给用户推送广告或指定的APP来获得利益,这一非法行为轻则导致出现卡顿现象,重则甚至侵害到用户信息安全。

随后,移动安全同盟(MSA)成员单位360、安天对此事件进行了追踪及详细技术分析。安全团队表示,确认RottenSys主要是通过刷机或APP(再root)的方式,在到达用户手中前,在目标上安装部份RottenSys应用程序,从而到达感染传播的效果。

对此,安全团队对RottenSys进行技术分析,并出具了《RottenSys事件分析报告》。报告中,该软件的主要伪装有多种类型,其中以系统Wi-Fi服务程序为主。而为了提高自身隐蔽性,静默安装权限获取、推迟操作设置、恶意模块云端下载等都是该程序精通的隐藏方式。而其主要传播途径则是经由一家名为Tian Pai的分销平台进行。据统计,从2018年1月1日至3月15日,安卓的感染总量已超18万。

RottenSys恶意软件 多种假装下的暴利工具

据报告显示,RottenSys恶意软件的伪装应用不只有系统Wi-Fi服务这一种,还包括每日黄历、畅米桌面等其他程序。实际上,这些伪装应用并非系统自带,而是用户在未知第三方应用商店下载APP时意外感染。

图1:RottenSys相关的运用程

另外,还有可能是在出厂前后、用户购买前的某一环节,RottenSys不请自来。安全专家称,Tian Pai便是RottenSys乘虚而入的主要平台。也正因此,厂商被感染量的高低主要取决于该厂商在Tian Pai平台的出货量,出货量较高的厂商便成为了RottenSys感染的一个重要占比。

而RottenSys感染目标设备的主要途径分为软硬件两种方式。软件层面,不法分子间接通过APP安装或ROOT目标设备,让RottenSys潜伏于用户;硬件层面,不法分子则会直接接触目标设备,利用刷机的方法直接将目标系统变更,系统便会在用户不知情下藏有RottenSys。

钻研花式隐匿术只为暗度陈仓

据了解,RottenSys团伙活动始于2016年9月,在2017年经历爆发式增长后进入稳定增长期。相关数据显示,3月3日至12日仅10天时间,RottenSys恶意软件便产生了1325万次广告,其中超54万次转化为广告点击,并为该团伙盈利11.5万美元。从如此高的转化率和营业额足以看出,RottenSys歹意软件隐蔽性和盈利性极高。

图2:相干控制域名的活跃度

RottenSys恶意软件之所以具备较高隐蔽性,主要在于其自身有多种隐匿术加持。以所谓的系统Wi-Fi服务为例,它实质上为一个下载器并与其控制服务器通讯,在接受到不法分子的下载指令后,便会自行实施广告推广服务。

首先,系统Wi-Fi服务会伪装成系统服务进程,打着向用户提供任何Wi-Fi相关服务的旗号招摇过市。由于很多用户对这1伪装并不了解,大多数会误认为该程序不存在威逼,就不会进行删除或卸载的操作。另外,系统Wi-Fi服务还拥有巨大的敏感权限列表,如静默安装下载等,这也便更利于其暗中行事。一旦该程序入侵用户,就会有一大波广告来袭。

图3:系统Wi-Fi服务暗藏于用户系统中

为避免用户短时间内察觉出异常,系统Wi-Fi服务还有推迟操作的应对策略,用户中招后较长时间内它才会尝试接收、推送弹窗广告。而为了将恶意推行变得更加灵活,系统Wi-Fi服务的歹意模块则通过云端下载,并且使用开源的轻量级插件框架Small,在保证恶意模块隐蔽加载的同时,促使模块之间代码不相互依赖。固然了,用户想要借助简单的关机和重启操作,也是清除不掉该恶意软件的,究其原因主要在于系统Wi-Fi服务使用了开源框架、广播等手段来确保自身长期存活。

在此,安全专家再次提醒广大用户,购买或是下载安装APP,通过官方、正规渠道,第三方销售平台或应用商店都存有一定的安全隐患。此外,在使用的过程中,还可借助安全管理软件,对应用程序及安装包进行安全扫描,以防歹意软件暗藏其中,一经发现,可尽早查杀,避免其给用户带来更为惨重的后果。

有什么治疗痛经的药物
更年期痛经的原因
月经过多喝什么好

相关推荐