网络安全公司Check Point的安全研究员Feixiang He、Bohdan Melnykov和Elena Root在本周三为了我们带来了一个重磅消息。他们发现,自2016年以来,一款被命名为“RottenSys”的恶意广告软件已经感染了近500万台移动设备,而涵盖的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金立等。
研究人员在一篇名为《RottenSys:完全不是安全的Wi-Fi服务(RottenSys: Not a Secure Wi-Fi Service At All)》的分析报告中对这一发现进行了详尽的分析。在下文中,我们将为各位读者展示这一份报告中的完整内容。
《RottenSys:完全不是安全的Wi-Fi服务(RottenSys: Not a Secure Wi-Fi Service At All)》
Feixiang He,Bohdan Melnykov,Elena Root
自2016年以来,移动恶意广告软件RottenSys已感染近500万台设备;
迹象表明,恶意软件可能在早些时候就已经进入了供应链;
攻击者通过相同的C&C服务器测试了一个新的僵尸网络活动。
Check Point移动安全团队发现了一个已被广泛传播的新型恶意软件家族,针对近500万用户获取欺诈性的广告收入。在我们发现的恶意软件样本中,它被命名为“RottenSys”,最初它伪装成了系统Wi-Fi服务。
最近,小米红米手机上的一个不寻常且自称“系统WIFI服务”的系统服务引起了我们的注意。我们的引擎显示此应用程序并不会向用户提供任何安全的Wi-Fi相关服务。相反,它要求许多敏感的Android权限,例如与Wi-Fi服务无关的无障碍服务权限、用户日历读取权限和静默下载权限。
图1:应用程序请求的权限列表
RottenSys使用两种逃避技术。第一种是推迟其操作一段时间,以避免被怀恶意应用程序和恶意活动之间存在联系。
作为其第二种逃避策略,RottenSys仅包含一个滴管组件(dropper),它最初不会显示任何恶意活动。一旦设备处于活动状态并安装了dropper,它就会联系其命令与控制(C&C)服务器,并向其发送活动所需的其他组件列表。这些组件则包含了实际的恶意代码,并在C&C服务器收到列表后从服务器上进行下载。
RottenSys在下载这些组件时,使用了DOWNLOAD_WITHOUT_NOTIFICATION权限,以保证下载是在“无提示”的情况下进行的,并且该权限并不需要任何用户交互。通常,恶意软件会下载三个附加组件。
在所有必要的组件下载后,RottenSys会使用一个名为“Small”的开源Android框架,这是一个Android应用程序虚拟化框架。该框架允许所有组件同时并排运行,并实现粗放广告网络的组合恶意功能,在设备的主屏幕上显示广告、弹出窗口或全屏广告。
RottenSys适用于使用“广点通”(腾讯广告平台)和百度广告交易平台进行广告欺诈操作。
图2:“Small”框架组合功能的代码片段
为了避免Android系统关闭其操作,RottenSys使用了另一个名为MarsDaemon的开源框架。虽然MarsDaemon能够保持进程活跃,但它也降低了设备的性能并十分消耗电池能量。一些Android论坛的用户已经注意到了这两个副作用以及广告活动,并开始了抱怨:
图3: 用户在小米论坛上反应主屏幕广告问题
图4:用户抱怨设备性能变差,分屏模式出现“系统WIFI服务”
还有许多其他类似的用户投诉,涉及“系统WIFI服务”的投诉最早可以追溯到2017年10月。
根据我们的发现,RottenSys拥有一大批前面提到的有效载荷的变体(滴管和附加组件)。每个变体都针对不同的广告系列、设备类型、广告平台和传播渠道量身定制。
在观察到的恶意软件分销渠道名单中,我们看到了两个名称(“天湃浅装”和“天痉桌面”),这两个名称暗示可能与杭州一家手机供应链分销商“天派”存在关联。
天派相关渠道贡献了我们观察到的受感染设备总数的49.2%。根据中国《国家企业信用信息公示系统》记录的信息,天派提供从售前定制、在线/离线批发到客户服务等多种服务。它涵盖三星、宏达电、苹果、小米、中兴、酷派、联想、华为等市场顶级品牌的区域销售。
天派可能不是该运动的直接参与者。然而,这与我们的假设相关,即在购买之前恶意软件就已经进入了用户的设备。
我们设法进一步研究这种威胁,并获得了能够显示此恶意活动真实程度的数据。
我们确定了RottenSys使用的两台并行C&C服务器。我们还设法分析攻击并定义攻击者操作的单独渠道,甚至确定向用户显示受感染设备和欺诈性广告的数量。
根据我们的调查结果,RottenSys恶意软件于2016年9月开始传播。截至2018年3月12日,RothenSys感染了4,964,460台设备。受影响最大的移动设备品牌是荣耀、华为和小米。
随着我们的调查进一步深入,我们发现了用于RottenSys初始滴管不同变体的更多C&C服务器。因此,我们相信受害者的真实人数可能会更多。
RottenSys是一个极具侵略性的广告网络。仅在过去的10天中,它就出现了13,250,756次攻击性广告(在广告行业被称为“印象”,指广告信息接触受众成员的一次机会),其中548,822次被转化为广告点击次数。举例来说,我们保守估计每次点击收益为20美分、每千次“印象”收益为40美分。根据这些数据进行计算,仅在过去十天内,攻击者就从其恶意操作中赚取了超过11.5万美元。
在调查RottenSys时,我们发现的证据表明攻击者所做的事情远比仅仅展示不请自来的广告更具破坏性。显然,自2018年2月初以来,攻击者一直在通过相同的C&C服务器测试新的僵尸网络活动。
攻击者计划利用腾讯的Tinker应用程序虚拟化框架作为dropper机制。意图分发的有效载荷可以将受害者设备变成僵尸网络的从属设备。这个僵尸网络将具有广泛的功能,包括静默安装额外的应用程序和UI自动化。有趣的是,僵尸网络的一部分控制机制是在Lua脚本中实现的。在没有干预的情况下,攻击者可以重新使用他们现有的恶意软件分发渠道,并很快掌握数百万设备的控制权。
定位在Android主屏幕上显示的恶意广告的来源对于普通用户来说始终是具有挑战性的,缓解更加困难。幸运的是,如果用户知道要删除的确切软件包名称,则可以卸载RottenSys dropper。如果你的全新手机在主屏幕上遭遇未知广告,请转到Android系统设置,然后转到应用管理器,查找下表中展示的恶意应用并将其卸载:
这已经不是我们第一次看到移动设备在它们接触到普通消费者之前就已经遭到了破坏。仅在两周前,来自俄罗斯的防病毒供应商Dr.Web就报告了类似的情况,其中恶意软件被嵌入在了一些低价为的Android智能手机固件中。
虽然受影响的品牌和恶意软件机制这次在很大程度上有所不同,但所反应出的问题是非常现实且一致的。在最终用户购买Android设备之前,谁应该保护它?如何让普通用户享受到安全的全新移动设备?没有直接的答案。行业必须采取行动,因为数字安全是一项十分关键的消费权利。
联系客服
