安卓手机遭RottenSys攻击 360揭秘花式“隐匿术”

本篇文章1971字，读完约5分钟

北京，3月26日(新华社)——不久前，检查站向公众披露了一个名为rottensys的恶意软件。入侵用户手机后，该软件伪装成“系统wi-fi服务”和其他应用程序，并通过不时向用户推送广告或指定应用程序而获益。这种非法行为导致了手机的堵塞，甚至侵犯了用户的信息安全。随后，移动安全联盟(msa)成员单位360和安田详细跟踪并分析了该事件。360安全小组表示，已确认“rottensys”主要是在手机到达用户之前，用“刷”或应用(re-root)在目标上安装一些rottensys应用，以达到传播感染的效果。

在这方面，360安全小组对“rottensys”进行了技术分析，并发布了“rottensys事故分析报告”。在这份报告中，360名安全专家指出，该软件的主要伪装有多种类型，其中“系统wi-fi服务”程序是主要的一种。为了提高自身的隐蔽性，静默安装权限获取、延迟操作设置、恶意模块云下载等都是程序精通的隐蔽方式。其主要传输方式是通过一个名为“天牌”的电话分配平台。据统计，从2018年1月1日到3月15日，被感染的安卓手机总数已经超过18万部。

“rottensys”恶意软件利用各种伪装牟取暴利

据报道，rottensys恶意软件的伪装应用不仅是“系统wi-fi服务”，还包括“每日黄历”和“昌米桌面”等其他程序。事实上，这些伪装的应用程序不是由手机系统带来的，而是在用户从未知的第三方应用商店下载应用程序时意外感染的。

此外，与“rottensys”相关的申请流程可能是在手机出厂前后和用户购买之前，而rottensys“不请自来”。据360名安全专家称，“天牌”是rottensys利用它的主要平台。因此，制造商的感染量主要取决于制造商在“天牌”平台上的出货量，出货量较大的制造商成为“rottensys”感染的重要部分。

Rottensys主要通过软件和硬件感染目标设备。在软件层面，犯罪分子通过应用程序安装或根目标设备，间接地让rottensys潜伏在用户的手机中；在硬件层面上，罪犯会直接接触目标设备，并通过刷洗直接改变目标系统，这样手机系统会在用户不知情的情况下隐藏rottensys。

研究幻想的“隐藏”只是为了黑暗

据了解，rottensys团伙的活动始于2016年9月，在经历了2017年的爆炸性增长后，进入了一个稳定的增长期。据相关数据显示，从3月3日至3月12日，rottensys恶意软件仅在10天内就产生了1325万条广告，其中超过54万条被转化为广告点击量，为该团伙获利11.5万美元。从如此高的“转换率”和“营业额”，可以看出rottensys恶意软件是极其隐蔽和有利可图的。

相关控制域名rottensys恶意软件的活动具有很高的隐蔽性，主要是因为它有各种“隐蔽”的好处。以所谓的系统wi-fi服务为例。它本质上是一个“下载器”，并与其控制服务器通信。在收到罪犯的下载指令后，它将实施自己的广告服务。

首先，“系统wi-fi服务”将被伪装成一个系统服务过程，打着“为用户提供任何wi-fi相关服务”的旗号。因为许多用户不理解这种伪装，他们中的大多数人会误认为这个程序没有威胁，所以他们不会删除或卸载它。此外，“系统wi-fi服务”也有一个庞大的敏感权限列表，如静默安装和下载，这更有利于其隐蔽行动。一旦该程序侵入用户的手机，将会有一波广告浪潮。

“系统无线服务”隐藏在用户的系统中。为了防止用户在短时间内发现异常，“系统wi-fi服务”也有一个延迟操作的“应对策略”，在用户被招募后，它会尝试长时间接收和推送弹出广告。为了使恶意升级更加灵活，通过云下载“系统wi-fi服务”的恶意模块，并使用开源轻量级插件框架small，确保恶意模块被秘密加载，同时使模块之间的代码互不依赖。当然，如果用户想简单地关闭并重启，他们就无法摆脱恶意软件。主要原因是“系统wi-fi服务”使用开源框架、广播等手段来保证其长期生存。

在这里，360名安全专家再次提醒用户，最好通过官方和正式渠道购买手机或下载安装应用，第三方销售平台或应用商店存在一定的安全风险。此外，在使用手机的过程中，借助360移动卫士等安全管理软件，可以对应用程序和安装包进行安全扫描，防止恶意软件藏在其中。一旦被发现，360移动警卫可以用来杀人，并尽快杀死，从而避免给用户带来更多的灾难性后果。

在这个高度安全的时代，用户面临的移动威胁远不止这些，还有欺诈电话、欺诈短信、网络钓鱼链接、木马病毒、勒索软件等。也是威胁用户移动安全的主要因素。因此，用户的移动安全需要全方位的防护，360 Mobile Guard创建了独家的“8+1”防护系统，实时拦截钓鱼网站、木马病毒、欺诈电话、欺诈短信、支付环境检测、交易短信防护、wi-fi安全检测和用户盗版软件。

来源：央视线