通過對已知數(shù)據(jù)的深入分析,我們認為:
- RottenSys 團伙活動始于 2016 年 9 月,團伙活動在 2017 年 7 月經(jīng)歷爆發(fā)式增長后進入穩(wěn)定增長期。
- 截止今年 3 月 12 日累計受感染安卓手機總量高達 496 萬 4 千余部;受感染的手機中,每天約有 35 萬部輪番受到惡意廣告推送的侵害。
- 受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。
- 僅 3 月 3 日到 12 日 10 天期間,RottenSys 團伙向受害手機用戶強行推送了 1325 萬余次廣告展示,誘導獲得了 54 萬余次廣告點擊。保守估計不正當廣告收入約為 72 萬人民幣。
用戶影響
受感染手機用戶會感受到手機運行速度大幅變慢,并伴以可疑“系統(tǒng) WIFI 服務”頻繁崩潰。
以小米用戶論壇信息為例,我們發(fā)現(xiàn)從 17 年 10 月底開始出現(xiàn)了多個類似用戶報告。然而幾乎所有用戶將問題歸咎于系統(tǒng)。由此可見 RottenSys 假扮系統(tǒng)軟件的策略相當成功。
病毒簡述
RottenSys 初始病毒激活后,從黑客服務器靜默下載并加載 3 個惡意模塊。等待 1 至 3 天后,開始嘗試接收、推送全屏或彈窗廣告。病毒使用了由 Wequick 開發(fā)的 Small 開源架構(gòu)進行隱秘的惡意模塊加載,并使用另一個開源項目 MarsDaemon 來完成長期系統(tǒng)駐留、 避免安卓關閉其后臺程序。
溯源簡述
RottenSys 初始病毒的數(shù)字簽名證書不屬于任何已知小米移動生態(tài)圈證書,并且它不具備任何系統(tǒng) Wi-Fi 相關的功能。用排除法,在對“系統(tǒng) WIFI 服務”安裝信息仔細觀測及大量額外數(shù)據(jù)分析后,我們認為該惡意軟件很可能安裝于手機出廠之后、用戶購買之前的某個環(huán)節(jié)。據(jù)進一步推算,大約 49.2%的已知 RottenSys 感染于此類方式。
受影響用戶問題排除方法
值得慶幸的是,大多數(shù)情況下,RottenSys 初始惡意軟件安裝在手機的普通存儲區(qū)域(而非系統(tǒng)保護區(qū)域)。受影響用戶可以自行卸載。如果您懷疑自己可能是 RottenSys 受害者,您可以嘗試在安卓系統(tǒng)設置的 App 管理中尋找以下可能出現(xiàn)的軟件并進行卸載:
一些想法
這已經(jīng)不是第一次手機信息安全圈發(fā)現(xiàn)手機在到達最終用戶手上之前就被安插了惡意軟件。 Dr. Web 等友商陸陸續(xù)續(xù)披露過類似的事件。不同的團伙,不同的惡意軟件,相同的線下傳播手法。寫在消費者權(quán)益日之時,我們不禁想問,除了保證普通用戶購買到硬件質(zhì)量合格的手機以外,我們是否忽略了用戶對一個潔凈安全的初始系統(tǒng)的需求?我們怎樣才能確保用戶享用到這樣一個令人放心的初始系統(tǒng)?這是一個擺在多個產(chǎn)業(yè)、機構(gòu)面前的大課題。 Check Point 僅希望拋磚引玉,積極尋求合作,為信息安全盡綿薄之力。
Check Point 團隊正在積極協(xié)助有關政府部門進行進一步調(diào)查。我們也樂于協(xié)助相關手機廠商通知已知受影響用戶。
更多信息
https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/