前不久，CheckPoint公司向大眾披露了一款名為“RottenSys”(墮落的系統(tǒng))的惡意軟件，該軟件會在入侵用戶手機(jī)之后，偽裝成“系統(tǒng)Wi-Fi服務(wù)”等應(yīng)用，并通過不定期給用戶推送廣告或指定的APP來獲取利益，這一非法行為輕則導(dǎo)致手機(jī)出現(xiàn)卡頓現(xiàn)象，重則甚至侵害到用戶信息安全。

隨后，移動(dòng)安全聯(lián)盟(MSA)成員單位360、安天對此事件進(jìn)行了追蹤及詳細(xì)技術(shù)分析。360安全團(tuán)隊(duì)表示，確認(rèn)“RottenSys”主要是通過“刷機(jī)”或APP(再root)的方式，在手機(jī)到達(dá)用戶手中前，在目標(biāo)上安裝部分RottenSys應(yīng)用程序，從而達(dá)到感染傳播的效果。

[[223907]]

對此，360安全團(tuán)隊(duì)對“RottenSys”進(jìn)行技術(shù)分析，并出具了《RottenSys事件分析報(bào)告》。報(bào)告中，360安全專家指出，該軟件的主要偽裝有多種類型，其中以“系統(tǒng)Wi-Fi服務(wù)”程序?yàn)橹鳌６鵀榱颂岣咦陨黼[蔽性，靜默安裝權(quán)限獲取、推遲操作設(shè)置、惡意模塊云端下載等都是該程序精通的隱藏方式。而其主要傳播途徑則是經(jīng)由一家名為“Tian Pai”的電話分銷平臺進(jìn)行。據(jù)統(tǒng)計(jì)，從2018年1月1日至3月15日，安卓手機(jī)的感染總量已超18萬。

“RottenSys”惡意軟件 多種偽裝下的暴利工具

據(jù)報(bào)告顯示，RottenSys惡意軟件的偽裝應(yīng)用不只有“系統(tǒng)Wi-Fi服務(wù)”這一種，還包括“每日黃歷”、“暢米桌面”等其他程序。實(shí)際上，這些偽裝應(yīng)用并非手機(jī)系統(tǒng)自帶，而是用戶在未知第三方應(yīng)用商店下載APP時(shí)意外感染。

圖1：“RottenSys”相關(guān)的應(yīng)用程

此外，還有可能是在手機(jī)出廠前后、用戶購買前的某一環(huán)節(jié)，RottenSys“不請自來”。360安全專家稱，“Tian Pai”便是RottenSys乘虛而入的主要平臺。也正因此，廠商被感染量的高低主要取決于該廠商在“Tian Pai”平臺的出貨量，出貨量較高的廠商便成為了“RottenSys”感染的一個(gè)重要占比。

而RottenSys感染目標(biāo)設(shè)備的主要途徑分為軟硬件兩種方式。軟件層面，不法分子間接通過APP安裝或ROOT目標(biāo)設(shè)備，讓RottenSys潛伏于用戶手機(jī);硬件層面，不法分子則會直接接觸目標(biāo)設(shè)備，利用刷機(jī)的方法直接將目標(biāo)系統(tǒng)變更，手機(jī)系統(tǒng)便會在用戶不知情下藏有RottenSys。

鉆研花式“隱匿術(shù)”只為暗度陳倉

據(jù)了解，RottenSys團(tuán)伙活動(dòng)始于2016年9月，在2017年經(jīng)歷爆發(fā)式增長后進(jìn)入穩(wěn)定增長期。相關(guān)數(shù)據(jù)顯示，3月3日至12日僅10天時(shí)間，RottenSys惡意軟件便產(chǎn)生了1325萬次廣告，其中超54萬次轉(zhuǎn)化為廣告點(diǎn)擊，并為該團(tuán)伙盈利11.5萬美元。從如此高的“轉(zhuǎn)化率”和“營業(yè)額”足以看出，RottenSys惡意軟件隱蔽性和盈利性極高。

圖2：相關(guān)控制域名的活躍度

RottenSys惡意軟件之所以具備較高隱蔽性，主要在于其自身有多種“隱匿術(shù)”加持。以所謂的系統(tǒng)Wi-Fi服務(wù)為例，它實(shí)質(zhì)上為一個(gè)“下載器”并與其控制服務(wù)器通訊，在接受到不法分子的下載指令后，便會自行實(shí)施廣告推廣服務(wù)。

首先，“系統(tǒng)Wi-Fi服務(wù)”會偽裝成系統(tǒng)服務(wù)進(jìn)程，打著“向用戶提供任何Wi-Fi相關(guān)服務(wù)”的旗號招搖過市。由于很多用戶對這一偽裝并不了解，大多數(shù)會誤認(rèn)為該程序不存在威脅，就不會進(jìn)行刪除或卸載的操作。另外，“系統(tǒng)Wi-Fi服務(wù)”還擁有巨大的敏感權(quán)限列表，如靜默安裝下載等，這也便更利于其暗中行事。一旦該程序入侵用戶手機(jī)，就會有一大波廣告來襲。

圖3：“系統(tǒng)Wi-Fi服務(wù)”暗藏于用戶系統(tǒng)中

為避免用戶短時(shí)間內(nèi)察覺出異常，“系統(tǒng)Wi-Fi服務(wù)”還有推遲操作的“應(yīng)對策略”，用戶中招后較長時(shí)間內(nèi)它才會嘗試接收、推送彈窗廣告。而為了將惡意推廣變得更加靈活，“系統(tǒng)Wi-Fi服務(wù)”的惡意模塊則通過云端下載，并且使用開源的輕量級插件框架Small，在保證惡意模塊隱秘加載的同時(shí)，促使模塊之間代碼不相互依賴。當(dāng)然了，用戶想要借助簡單的關(guān)機(jī)和重啟操作，也是清除不掉該惡意軟件的，究其原因主要在于“系統(tǒng)Wi-Fi服務(wù)”使用了開源框架、廣播等手段來確保自身長期存活。

在此，360安全專家再次提醒廣大用戶，購買手機(jī)或是下載安裝APP，最好通過官方、正規(guī)渠道，第三方銷售平臺或應(yīng)用商店都存有一定的安全隱患。此外，在使用手機(jī)的過程中，還可借助360手機(jī)衛(wèi)士等安全管理軟件，對應(yīng)用程序及安裝包進(jìn)行安全掃描，以防惡意軟件暗藏其中，一經(jīng)發(fā)現(xiàn)，可使用360手機(jī)衛(wèi)士盡早查殺，避免其給用戶帶來更為慘重的后果。

在大安全時(shí)代，用戶所面臨的移動(dòng)威脅遠(yuǎn)不止此，詐騙電話、欺詐短信、釣魚鏈接、木馬病毒、勒索軟件等，也是威脅用戶移動(dòng)安全的主要因素。因此，用戶的移動(dòng)安全更需要全方位守護(hù)，360手機(jī)衛(wèi)士便獨(dú)家創(chuàng)立“8+1”防護(hù)體系，為用戶實(shí)時(shí)攔截釣魚網(wǎng)站、攔截木馬病毒、攔截詐騙電話、攔截詐騙短信、檢測支付環(huán)境、保護(hù)交易短信、檢測Wi-Fi安全、識別盜版軟件。