網(wǎng)絡(luò)安全公司Check Point的安全研究員Feixiang He、Bohdan Melnykov和Elena Root在本周三為了我們帶來(lái)了一個(gè)重磅消息。他們發(fā)現(xiàn)，自2016年以來(lái)，一款被命名為“RottenSys”的惡意廣告軟件已經(jīng)感染了近500萬(wàn)臺(tái)移動(dòng)設(shè)備，而涵蓋的品牌包括榮耀、華為、小米、OPPO、Vivo、三星和金立等。

研究人員在一篇名為《RottenSys：完全不是安全的Wi-Fi服務(wù)（RottenSys: Not a Secure Wi-Fi Service At All）》的分析報(bào)告中對(duì)這一發(fā)現(xiàn)進(jìn)行了詳盡的分析。在下文中，我們將為各位讀者展示這一份報(bào)告中的完整內(nèi)容。

標(biāo)題：

《RottenSys：完全不是安全的Wi-Fi服務(wù)（RottenSys: Not a Secure Wi-Fi Service At All）》

研究者：

Feixiang He，Bohdan Melnykov，Elena Root

主要調(diào)查結(jié)果：

• 自2016年以來(lái)，移動(dòng)惡意廣告軟件RottenSys已感染近500萬(wàn)臺(tái)設(shè)備；

• 跡象表明，惡意軟件可能在早些時(shí)候就已經(jīng)進(jìn)入了供應(yīng)鏈；

• 攻擊者通過相同的C＆C服務(wù)器測(cè)試了一個(gè)新的僵尸網(wǎng)絡(luò)活動(dòng)。

Check Point移動(dòng)安全團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)已被廣泛傳播的新型惡意軟件家族，針對(duì)近500萬(wàn)用戶獲取欺詐性的廣告收入。在我們發(fā)現(xiàn)的惡意軟件樣本中，它被命名為“RottenSys”，最初它偽裝成了系統(tǒng)Wi-Fi服務(wù)。

惡意軟件如何運(yùn)作？

最近，小米紅米手機(jī)上的一個(gè)不尋常且自稱“系統(tǒng)WIFI服務(wù)”的系統(tǒng)服務(wù)引起了我們的注意。我們的引擎顯示此應(yīng)用程序并不會(huì)向用戶提供任何安全的Wi-Fi相關(guān)服務(wù)。相反，它要求許多敏感的Android權(quán)限，例如與Wi-Fi服務(wù)無(wú)關(guān)的無(wú)障礙服務(wù)權(quán)限、用戶日歷讀取權(quán)限和靜默下載權(quán)限。

圖1：應(yīng)用程序請(qǐng)求的權(quán)限列表

RottenSys的惡意行為

RottenSys使用兩種逃避技術(shù)。第一種是推遲其操作一段時(shí)間，以避免被懷惡意應(yīng)用程序和惡意活動(dòng)之間存在聯(lián)系。

作為其第二種逃避策略，RottenSys僅包含一個(gè)滴管組件（dropper），它最初不會(huì)顯示任何惡意活動(dòng)。一旦設(shè)備處于活動(dòng)狀態(tài)并安裝了dropper，它就會(huì)聯(lián)系其命令與控制（C＆C）服務(wù)器，并向其發(fā)送活動(dòng)所需的其他組件列表。這些組件則包含了實(shí)際的惡意代碼，并在C＆C服務(wù)器收到列表后從服務(wù)器上進(jìn)行下載。

RottenSys在下載這些組件時(shí)，使用了DOWNLOAD_WITHOUT_NOTIFICATION權(quán)限，以保證下載是在“無(wú)提示”的情況下進(jìn)行的，并且該權(quán)限并不需要任何用戶交互。通常，惡意軟件會(huì)下載三個(gè)附加組件。

在所有必要的組件下載后，RottenSys會(huì)使用一個(gè)名為“Small”的開源Android框架，這是一個(gè)Android應(yīng)用程序虛擬化框架。該框架允許所有組件同時(shí)并排運(yùn)行，并實(shí)現(xiàn)粗放廣告網(wǎng)絡(luò)的組合惡意功能，在設(shè)備的主屏幕上顯示廣告、彈出窗口或全屏廣告。

RottenSys適用于使用“廣點(diǎn)通”（騰訊廣告平臺(tái)）和百度廣告交易平臺(tái)進(jìn)行廣告欺詐操作。

圖2：“Small”框架組合功能的代碼片段

為了避免Android系統(tǒng)關(guān)閉其操作，RottenSys使用了另一個(gè)名為MarsDaemon的開源框架。雖然MarsDaemon能夠保持進(jìn)程活躍，但它也降低了設(shè)備的性能并十分消耗電池能量。一些Android論壇的用戶已經(jīng)注意到了這兩個(gè)副作用以及廣告活動(dòng)，并開始了抱怨：

圖3： 用戶在小米論壇上反應(yīng)主屏幕廣告問題

圖4：用戶抱怨設(shè)備性能變差，分屏模式出現(xiàn)“系統(tǒng)WIFI服務(wù)”

還有許多其他類似的用戶投訴，涉及“系統(tǒng)WIFI服務(wù)”的投訴最早可以追溯到2017年10月。

量身定制

根據(jù)我們的發(fā)現(xiàn)，RottenSys擁有一大批前面提到的有效載荷的變體（滴管和附加組件）。每個(gè)變體都針對(duì)不同的廣告系列、設(shè)備類型、廣告平臺(tái)和傳播渠道量身定制。

在觀察到的惡意軟件分銷渠道名單中，我們看到了兩個(gè)名稱（“天湃淺裝”和“天痙桌面”），這兩個(gè)名稱暗示可能與杭州一家手機(jī)供應(yīng)鏈分銷商“天派”存在關(guān)聯(lián)。

天派相關(guān)渠道貢獻(xiàn)了我們觀察到的受感染設(shè)備總數(shù)的49.2％。根據(jù)中國(guó)《國(guó)家企業(yè)信用信息公示系統(tǒng)》記錄的信息，天派提供從售前定制、在線/離線批發(fā)到客戶服務(wù)等多種服務(wù)。它涵蓋三星、宏達(dá)電、蘋果、小米、中興、酷派、聯(lián)想、華為等市場(chǎng)頂級(jí)品牌的區(qū)域銷售。

天派可能不是該運(yùn)動(dòng)的直接參與者。然而，這與我們的假設(shè)相關(guān)，即在購(gòu)買之前惡意軟件就已經(jīng)進(jìn)入了用戶的設(shè)備。

效果如何？

我們?cè)O(shè)法進(jìn)一步研究這種威脅，并獲得了能夠顯示此惡意活動(dòng)真實(shí)程度的數(shù)據(jù)。

我們確定了RottenSys使用的兩臺(tái)并行C＆C服務(wù)器。我們還設(shè)法分析攻擊并定義攻擊者操作的單獨(dú)渠道，甚至確定向用戶顯示受感染設(shè)備和欺詐性廣告的數(shù)量。

衡量影響

根據(jù)我們的調(diào)查結(jié)果，RottenSys惡意軟件于2016年9月開始傳播。截至2018年3月12日，RothenSys感染了4,964,460臺(tái)設(shè)備。受影響最大的移動(dòng)設(shè)備品牌是榮耀、華為和小米。

隨著我們的調(diào)查進(jìn)一步深入，我們發(fā)現(xiàn)了用于RottenSys初始滴管不同變體的更多C＆C服務(wù)器。因此，我們相信受害者的真實(shí)人數(shù)可能會(huì)更多。

這一切都源自于“錢”

RottenSys是一個(gè)極具侵略性的廣告網(wǎng)絡(luò)。僅在過去的10天中，它就出現(xiàn)了13,250,756次攻擊性廣告（在廣告行業(yè)被稱為“印象”，指廣告信息接觸受眾成員的一次機(jī)會(huì)），其中548,822次被轉(zhuǎn)化為廣告點(diǎn)擊次數(shù)。舉例來(lái)說，我們保守估計(jì)每次點(diǎn)擊收益為20美分、每千次“印象”收益為40美分。根據(jù)這些數(shù)據(jù)進(jìn)行計(jì)算，僅在過去十天內(nèi)，攻擊者就從其惡意操作中賺取了超過11.5萬(wàn)美元。

探索新的業(yè)務(wù)領(lǐng)域

在調(diào)查RottenSys時(shí)，我們發(fā)現(xiàn)的證據(jù)表明攻擊者所做的事情遠(yuǎn)比僅僅展示不請(qǐng)自來(lái)的廣告更具破壞性。顯然，自2018年2月初以來(lái)，攻擊者一直在通過相同的C＆C服務(wù)器測(cè)試新的僵尸網(wǎng)絡(luò)活動(dòng)。

攻擊者計(jì)劃利用騰訊的Tinker應(yīng)用程序虛擬化框架作為dropper機(jī)制。意圖分發(fā)的有效載荷可以將受害者設(shè)備變成僵尸網(wǎng)絡(luò)的從屬設(shè)備。這個(gè)僵尸網(wǎng)絡(luò)將具有廣泛的功能，包括靜默安裝額外的應(yīng)用程序和UI自動(dòng)化。有趣的是，僵尸網(wǎng)絡(luò)的一部分控制機(jī)制是在Lua腳本中實(shí)現(xiàn)的。在沒有干預(yù)的情況下，攻擊者可以重新使用他們現(xiàn)有的惡意軟件分發(fā)渠道，并很快掌握數(shù)百萬(wàn)設(shè)備的控制權(quán)。

緩解建議

定位在Android主屏幕上顯示的惡意廣告的來(lái)源對(duì)于普通用戶來(lái)說始終是具有挑戰(zhàn)性的，緩解更加困難。幸運(yùn)的是，如果用戶知道要?jiǎng)h除的確切軟件包名稱，則可以卸載RottenSys dropper。如果你的全新手機(jī)在主屏幕上遭遇未知廣告，請(qǐng)轉(zhuǎn)到Android系統(tǒng)設(shè)置，然后轉(zhuǎn)到應(yīng)用管理器，查找下表中展示的惡意應(yīng)用并將其卸載：

最后的想法

這已經(jīng)不是我們第一次看到移動(dòng)設(shè)備在它們接觸到普通消費(fèi)者之前就已經(jīng)遭到了破壞。僅在兩周前，來(lái)自俄羅斯的防病毒供應(yīng)商Dr.Web就報(bào)告了類似的情況，其中惡意軟件被嵌入在了一些低價(jià)為的Android智能手機(jī)固件中。

雖然受影響的品牌和惡意軟件機(jī)制這次在很大程度上有所不同，但所反應(yīng)出的問題是非?，F(xiàn)實(shí)且一致的。在最終用戶購(gòu)買Android設(shè)備之前，誰(shuí)應(yīng)該保護(hù)它？如何讓普通用戶享受到安全的全新移動(dòng)設(shè)備？沒有直接的答案。行業(yè)必須采取行動(dòng)，因?yàn)閿?shù)字安全是一項(xiàng)十分關(guān)鍵的消費(fèi)權(quán)利。