報導指出一款名為「RottenSys」的惡意程式,透過植入廣告誘騙用戶點擊、牟取暴利,估計近 500萬台手機在上市前就被暗藏惡意軟體,包括華為、小米、OPPO 等中國廠牌手機都遭殃。本文深入解析RottenSys 。
2016年以來影響近 500 萬台的Android設備
安全研究人員發現一款被稱為 RottenSys 的廣告軟體(趨勢科技將其偵測為ANDROIDOS_ROTTENSYS),據報自2016年以來影響了近500萬台的Android設備。RottenSys是根據所分析的樣本命名,目前有316種變種,每種都根據攻擊活動,所針對廣告平台及散播管道來客製化。進一步對RottenSys進行研究後發現幕後操作者正在嘗試新一波的攻擊,會將受影響設備變成殭屍網路。
[TrendLabs研究:2017年的行動威脅環境]
偽裝成無線網路安全應用程式要求Android權限
RottenSys會偽裝成無線網路安全應用程式/服務並要求Android上的權限。在安裝之後,它會經過一段時間再去連接命令與控制(C&C)伺服器 – 這是RottenSys躲避偵測的手法之一。另一個作法是廣告軟體只包含一個不會執行惡意行為的植入程式(dropper)組件。以下是RottenSys的運作方式:
- 安裝之後,植入程式將與C&C伺服器連線。
- C&C伺服器會發送執行活動所需的其他組件列表。它們是用DOWNLOAD_WITHOUT_NOTIFICATION權限取回,這代表著無辜的使用者不會收到警告。
- RottenSys使用開放原始碼的Android框架,這框架可以讓所有組件同時執行(即在設備主畫面顯示廣告)。
- RottenSys會利用一個稱為MarsDaemon的框架來保持程序活著。確保即使RottenSys程序被強制終止也能回復RottenSys的運作。
[來自TrendLabs安全情報:GhostTeam廣告軟體竊取Facebook帳密]
幕後操作者可以控制手機並秘密地安裝更多應用程式
MarsDaemon會影響手機效能並且會顯著地消耗電力。但除了造成對手機的耗損之外,研究人員發現RottenSys的幕後操作者在10天內就可以已經賺得了超過115,000美元。 繼續閱讀
