本篇文章1971字,读完约5分钟
北京,3月26日(新华社)——不久前,检查站向公众披露了一个名为rottensys的恶意软件。入侵用户手机后,该软件伪装成“系统wi-fi服务”和其他应用程序,并通过不时向用户推送广告或指定应用程序而获益。这种非法行为导致了手机的堵塞,甚至侵犯了用户的信息安全。随后,移动安全联盟(msa)成员单位360和安田详细跟踪并分析了该事件。360安全小组表示,已确认“rottensys”主要是在手机到达用户之前,用“刷”或应用(re-root)在目标上安装一些rottensys应用,以达到传播感染的效果。
在这方面,360安全小组对“rottensys”进行了技术分析,并发布了“rottensys事故分析报告”。在这份报告中,360名安全专家指出,该软件的主要伪装有多种类型,其中“系统wi-fi服务”程序是主要的一种。为了提高自身的隐蔽性,静默安装权限获取、延迟操作设置、恶意模块云下载等都是程序精通的隐蔽方式。其主要传输方式是通过一个名为“天牌”的电话分配平台。据统计,从2018年1月1日到3月15日,被感染的安卓手机总数已经超过18万部。
“rottensys”恶意软件利用各种伪装牟取暴利
据报道,rottensys恶意软件的伪装应用不仅是“系统wi-fi服务”,还包括“每日黄历”和“昌米桌面”等其他程序。事实上,这些伪装的应用程序不是由手机系统带来的,而是在用户从未知的第三方应用商店下载应用程序时意外感染的。
此外,与“rottensys”相关的申请流程可能是在手机出厂前后和用户购买之前,而rottensys“不请自来”。据360名安全专家称,“天牌”是rottensys利用它的主要平台。因此,制造商的感染量主要取决于制造商在“天牌”平台上的出货量,出货量较大的制造商成为“rottensys”感染的重要部分。
Rottensys主要通过软件和硬件感染目标设备。在软件层面,犯罪分子通过应用程序安装或根目标设备,间接地让rottensys潜伏在用户的手机中;在硬件层面上,罪犯会直接接触目标设备,并通过刷洗直接改变目标系统,这样手机系统会在用户不知情的情况下隐藏rottensys。
研究幻想的“隐藏”只是为了黑暗
据了解,rottensys团伙的活动始于2016年9月,在经历了2017年的爆炸性增长后,进入了一个稳定的增长期。据相关数据显示,从3月3日至3月12日,rottensys恶意软件仅在10天内就产生了1325万条广告,其中超过54万条被转化为广告点击量,为该团伙获利11.5万美元。从如此高的“转换率”和“营业额”,可以看出rottensys恶意软件是极其隐蔽和有利可图的。
相关控制域名rottensys恶意软件的活动具有很高的隐蔽性,主要是因为它有各种“隐蔽”的好处。以所谓的系统wi-fi服务为例。它本质上是一个“下载器”,并与其控制服务器通信。在收到罪犯的下载指令后,它将实施自己的广告服务。
首先,“系统wi-fi服务”将被伪装成一个系统服务过程,打着“为用户提供任何wi-fi相关服务”的旗号。因为许多用户不理解这种伪装,他们中的大多数人会误认为这个程序没有威胁,所以他们不会删除或卸载它。此外,“系统wi-fi服务”也有一个庞大的敏感权限列表,如静默安装和下载,这更有利于其隐蔽行动。一旦该程序侵入用户的手机,将会有一波广告浪潮。
“系统无线服务”隐藏在用户的系统中。为了防止用户在短时间内发现异常,“系统wi-fi服务”也有一个延迟操作的“应对策略”,在用户被招募后,它会尝试长时间接收和推送弹出广告。为了使恶意升级更加灵活,通过云下载“系统wi-fi服务”的恶意模块,并使用开源轻量级插件框架small,确保恶意模块被秘密加载,同时使模块之间的代码互不依赖。当然,如果用户想简单地关闭并重启,他们就无法摆脱恶意软件。主要原因是“系统wi-fi服务”使用开源框架、广播等手段来保证其长期生存。
在这里,360名安全专家再次提醒用户,最好通过官方和正式渠道购买手机或下载安装应用,第三方销售平台或应用商店存在一定的安全风险。此外,在使用手机的过程中,借助360移动卫士等安全管理软件,可以对应用程序和安装包进行安全扫描,防止恶意软件藏在其中。一旦被发现,360移动警卫可以用来杀人,并尽快杀死,从而避免给用户带来更多的灾难性后果。
在这个高度安全的时代,用户面临的移动威胁远不止这些,还有欺诈电话、欺诈短信、网络钓鱼链接、木马病毒、勒索软件等。也是威胁用户移动安全的主要因素。因此,用户的移动安全需要全方位的防护,360 Mobile Guard创建了独家的“8+1”防护系统,实时拦截钓鱼网站、木马病毒、欺诈电话、欺诈短信、支付环境检测、交易短信防护、wi-fi安全检测和用户盗版软件。
来源:央视线
标题:安卓手机遭RottenSys攻击 360揭秘花式“隐匿术”
地址:http://www.yangshinews.com/ysxw/24854.html