報導指出一款名為「RottenSys」的惡意程式,透過植入廣告誘騙用戶點擊、牟取暴利,估計近 500萬台手機在上市前就被暗藏惡意軟體,包括華為、小米、OPPO 等中國廠牌手機都遭殃。本文深入解析RottenSys 。
2016年以來影響近 500 萬台的Android設備
安全研究人員發現一款被稱為 RottenSys 的廣告軟體(趨勢科技將其偵測為ANDROIDOS_ROTTENSYS),據報自2016年以來影響了近500萬台的Android設備。RottenSys是根據所分析的樣本命名,目前有316種變種,每種都根據攻擊活動,所針對廣告平台及散播管道來客製化。進一步對RottenSys進行研究後發現幕後操作者正在嘗試新一波的攻擊,會將受影響設備變成殭屍網路。
[TrendLabs研究:2017年的行動威脅環境]
偽裝成無線網路安全應用程式要求Android權限
RottenSys會偽裝成無線網路安全應用程式/服務並要求Android上的權限。在安裝之後,它會經過一段時間再去連接命令與控制(C&C)伺服器 – 這是RottenSys躲避偵測的手法之一。另一個作法是廣告軟體只包含一個不會執行惡意行為的植入程式(dropper)組件。以下是RottenSys的運作方式:
- 安裝之後,植入程式將與C&C伺服器連線。
- C&C伺服器會發送執行活動所需的其他組件列表。它們是用DOWNLOAD_WITHOUT_NOTIFICATION權限取回,這代表著無辜的使用者不會收到警告。
- RottenSys使用開放原始碼的Android框架,這框架可以讓所有組件同時執行(即在設備主畫面顯示廣告)。
- RottenSys會利用一個稱為MarsDaemon的框架來保持程序活著。確保即使RottenSys程序被強制終止也能回復RottenSys的運作。
[來自TrendLabs安全情報:GhostTeam廣告軟體竊取Facebook帳密]
幕後操作者可以控制手機並秘密地安裝更多應用程式
MarsDaemon會影響手機效能並且會顯著地消耗電力。但除了造成對手機的耗損之外,研究人員發現RottenSys的幕後操作者在10天內就可以已經賺得了超過115,000美元。
作為一種殭屍網路病毒,它讓幕後操作者可以控制手機並秘密地安裝更多應用程式。這讓受影響手機成為進一步散播惡意軟體的媒體。
[延伸閱讀:利用Toast Overlay來安裝多種Android惡意軟體]
RottenSys有能力去竊取更多使用者瀏覽習慣或消耗更多資源
使用者可以進入系統設定來移除RottenSys。在應用程式管理員介面找到以下套件並將其移除:
- android.yellowcalendarz
- changmi.launcher
- android.services.securewifi
- system.service.zdsgt
[DevOps安全:開發人員該注重的行動應用程式安全]
RottenSys只是潛在不受歡迎應用程式(特別是廣告軟體)列表的最新一員。儘管在過去來說廣告軟體只是煩人而已,但它們的多樣性和成熟度意味著有能力去竊取更多使用者瀏覽習慣或消耗更多資源。使用者需要更加了解自己下載的應用程式並且有良好的安全習慣。在實施自帶設備(BYOD)政策的組織中,個人資料和公司資料可能都能從同一台設備存取,所以必須在靈活度/生產力與安全/隱私間取得平衡。
趨勢科技解決方案
一般使用者和企業都可以利用多層次行動安全解決方案來保護自己,如趨勢科技行動安全防護。趨勢科技的行動安全防護企業版提供設備、法規遵循和應用程式的管理能力,資料保護以及設定佈建。還可以保護手機來對抗漏洞攻擊,防止對應用程式未經授權存取及偵測和封鎖惡意軟體和欺詐性網站。
趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS上的威脅。它可以保護使用者對抗惡意軟體、零時差和已知漏洞攻擊、隱私外洩和應用程式漏洞問題。
@原文出處:Mobile Adware RottenSys Can Infect Android Devices to Become Part of a Botnet