揭秘RottenSys的花式“隱匿術(shù)”

馬漢

前不久，CheckPoint公司披露了一款名為“墮落的系統(tǒng)（RottenSys）的惡意軟件”，該軟件會(huì)在入侵用戶手機(jī)之后，偽裝成“系統(tǒng)WiFi服務(wù)”等應(yīng)用，并通過不定期給用戶推送廣告或指定的APP來獲取利益，這一非法行為輕則導(dǎo)致手機(jī)出現(xiàn)卡頓現(xiàn)象，重則危害用戶信息安全。

隨后，移動(dòng)安全聯(lián)盟（MSA）成員單位360、安天對(duì)此事件進(jìn)行了追蹤及詳細(xì)技術(shù)分析。安全團(tuán)隊(duì)表示，確認(rèn)“RottenSys”主要是通過“刷機(jī)”或APP（再root）的方式，在手機(jī)到達(dá)用戶手中前，在目標(biāo)上安裝部分RottenSys應(yīng)用程序，從而達(dá)到感染傳播的效果。

對(duì)此，安全團(tuán)隊(duì)對(duì)“RottenSys”進(jìn)行技術(shù)分析，并出具了《RottenSys事件分析報(bào)告》。報(bào)告中，該軟件的主要偽裝有多種類型，其中以“系統(tǒng)WiFi服務(wù)”程序?yàn)橹?。而為了提高自身隱蔽性，靜默安裝權(quán)限獲取、推遲操作設(shè)置、惡意模塊云端下載等都是該程序精通的隱藏方式。而其主要傳播途徑則是經(jīng)由一家名為“Tian Pai”的電話分銷平臺(tái)進(jìn)行。據(jù)統(tǒng)計(jì)，從2018年1月1日至3月15日，安卓手機(jī)的感染總量已超18萬。

“RottenSys”惡意軟件多種偽裝下的暴利工具

報(bào)告顯示，RottenSys惡意軟件的偽裝應(yīng)用不只有“系統(tǒng)WiFi服務(wù)”這一種，還包括“每日黃歷”、“暢米桌面”等其他程序。實(shí)際上，這些偽裝應(yīng)用并非手機(jī)系統(tǒng)自帶，而是用戶在未知第三方應(yīng)用商店下載APP時(shí)意外感染。

此外，還有可能是在手機(jī)出廠后、用戶購(gòu)買前的某一環(huán)節(jié)，RottenSys“不請(qǐng)自來”。安全專家稱，“Tian Pai”便是“RottenSys”乘虛而入的主要平臺(tái)。也正因此，廠商被感染量的高低主要取決于該廠商在“Tian Pai”平臺(tái)的出貨量，出貨量較高的廠商便成為了“RottenSys”感染的一個(gè)重要占比。

而“RottenSys”感染目標(biāo)設(shè)備的主要途徑分為軟、硬件兩種方式。軟件層面，不法分子間接通過APP安裝或root目標(biāo)設(shè)備，讓“RottenSys”潛伏于用戶手機(jī)；硬件層面，不法分子則會(huì)直接接觸目標(biāo)設(shè)備，利用刷機(jī)的方法直接將目標(biāo)系統(tǒng)變更，手機(jī)系統(tǒng)便會(huì)在用戶不知情下藏有“RottenSys”。

鉆研花式“隱匿術(shù)”只為暗度陳倉

據(jù)了解，RottenSys團(tuán)伙活動(dòng)始于2016年9月，在2017年經(jīng)歷爆發(fā)式增長(zhǎng)后進(jìn)入穩(wěn)定增長(zhǎng)期。相關(guān)數(shù)據(jù)顯示，3月3日至12日僅10天時(shí)間，RottenSys惡意軟件便產(chǎn)生了1 325萬次廣告，其中超54萬次轉(zhuǎn)化為廣告點(diǎn)擊，并為該團(tuán)伙盈利11.5萬美元。從如此高的“轉(zhuǎn)化率”和“營(yíng)業(yè)額”足以看出，RottenSys惡意軟件隱蔽性和盈利性極高。

RottenSys惡意軟件之所以具備較高隱蔽性，主要在于其自身有多種“隱匿術(shù)”加持。以所謂的系統(tǒng)WiFi服務(wù)為例，它實(shí)質(zhì)上為一個(gè)“下載器”并與其控制服務(wù)器通訊，在接受到不法分子的下載指令后，便會(huì)自行實(shí)施廣告推廣服務(wù)。

首先，“系統(tǒng)WiFi服務(wù)”會(huì)偽裝成系統(tǒng)服務(wù)進(jìn)程，打著“向用戶提供WiFi相關(guān)服務(wù)”的旗號(hào)招搖過市。由于很多用戶對(duì)這一偽裝并不了解，大多數(shù)會(huì)誤認(rèn)為該程序不存在威脅，就不會(huì)進(jìn)行刪除或卸載的操作。另外，“系統(tǒng)WiFi服務(wù)”還擁有巨大的敏感權(quán)限列表，如靜默安裝下載等，這也更便利其暗中行事。一旦該程序入侵用戶手機(jī)，就會(huì)有一大波廣告來襲。

為避免用戶短時(shí)間內(nèi)察覺出異常，“系統(tǒng)WiFi服務(wù)”還有推遲操作的“應(yīng)對(duì)策略”，用戶中招后較長(zhǎng)時(shí)間內(nèi)它才會(huì)嘗試接收、推送彈窗廣告。而為了將惡意推廣變得更加靈活，“系統(tǒng)WiFi服務(wù)”的惡意模塊則通過云端下載，并且使用開源的輕量級(jí)插件框架Small，在保證惡意模塊隱秘加載的同時(shí)，促使模塊之間代碼不相互依賴。當(dāng)然了，用戶想要借助簡(jiǎn)單的關(guān)機(jī)和重啟操作，也是清除不掉該惡意軟件的，究其原因主要在于“系統(tǒng)WiFi服務(wù)”使用了開源框架、廣播等手段來確保自身長(zhǎng)期存活。

在此，安全專家再次提醒廣大用戶，購(gòu)買手機(jī)或是下載安裝APP，最好通過官方、正規(guī)渠道，第三方銷售平臺(tái)或應(yīng)用商店都存有一定的安全隱患。此外，在使用手機(jī)的過程中，還可借助安全管理軟件，對(duì)應(yīng)用程序及安裝包進(jìn)行安全掃描，以防惡意軟件暗藏其中，一經(jīng)發(fā)現(xiàn)，可盡早查殺，避免其給用戶帶來更為慘重的后果。