信息來源:secdoctor
外媒 3 月 14 日消息�����,安全公司 Check Point 本周披露了一個(gè)名為 RottenSys 的惡意軟件家族 —— 通過偽裝成系統(tǒng) Wi-Fi 服務(wù)��,增加廣告收入����。根據(jù)調(diào)查,自 2016 年起��,該移動(dòng)廣告軟件已感染了近 500 萬臺(tái) Android 設(shè)備����,其中受影響較大的包括榮耀、華為以及小米����。
Check Point 稱最近小米紅米手機(jī)上的一個(gè)不尋常��、自稱為系統(tǒng) Wi-Fi 服務(wù)的應(yīng)用程序引起了其研究人員的注意�。他們發(fā)現(xiàn)該應(yīng)用程序不會(huì)向用戶提供任何安全的 Wi-Fi 相關(guān)服務(wù)��,反而會(huì)要求許多敏感的 Android 權(quán)限�����,例如與 Wi-Fi 服務(wù)無關(guān)的易訪問性服務(wù)權(quán)限�����、用戶日歷讀取權(quán)限等等�。
根據(jù) Check Point 的調(diào)查���,惡意團(tuán)伙利用 RottenSys 謀取暴利���,每 10 天的收入能達(dá)到 115,000 美元。目前���,感染排名靠前的手機(jī)品牌有華為榮耀�����、華為����、小米、OPPO���、vivo 等�����。并且需要注意的是�����,由于 RottenSys 的功能比較廣泛����,攻擊者還可能會(huì)利用它來做出一些遠(yuǎn)比廣告更具破壞性的行為�����。
RottenSys 惡意軟件部分細(xì)節(jié):
惡意軟件實(shí)施兩種逃避技術(shù):第一種技術(shù)包括在設(shè)定時(shí)間內(nèi)延遲操作�����;第二種技術(shù)使用不顯示任何惡意活動(dòng)的 dropper。一旦設(shè)備處于活動(dòng)狀態(tài)且安裝了 dropper��,與之聯(lián)系的命令和控制(C&C)服務(wù)器將會(huì)向其發(fā)送活動(dòng)所需的其他組件列表��。
惡意代碼依賴于兩個(gè)開源項(xiàng)目:
1����、RottenSys 使用一個(gè)名為 Small 的開源 Android 框架(github.com/wequick/small)為其組件創(chuàng)建虛擬化容器。通過這種方法���,惡意軟件就可以運(yùn)行并行任務(wù)����,從而攻破 Android 操作系統(tǒng)的限制�。
2、為了避免 Android 系統(tǒng)關(guān)閉其操作��,RottenSys 使用了另一個(gè)名為 MarsDaemon 的開源框架(github.com/Marswin/MarsDaemon)���。
不過雖然 MarsDaemon 保持流程活躍,但它也阻礙了設(shè)備的性能并且消耗了電池�����。
