作者:郭佳
用戶在哪里����,油水就在哪里。
對于這條“金科玉律”����,黑產(chǎn)從業(yè)者有著透徹的領(lǐng)悟。
回想一下�,你以前在使用電腦時所遇到的那些問題����,現(xiàn)在是不是逐步轉(zhuǎn)移到了手機(jī)上?
比如�,手機(jī)有時會卡,運(yùn)行變慢�;總是有煩人的廣告彈窗出現(xiàn);某些程序正在偷偷的竊取你的隱私信息……
最近���,安全公司 Check Point 發(fā)現(xiàn)了中國多款主流安卓手機(jī)�,正遭受同一個團(tuán)伙制造的手機(jī)惡意廣告推送,中招的有榮耀�����、華為����、小米、OPPO�、vivo等。
這些惡意程序到底是如何潛入手機(jī)的�?中招后手機(jī)會出現(xiàn)哪些癥狀?如何見招拆招����?且聽雷鋒網(wǎng)為你慢慢分析。
披著羊皮的狼---RottenSys
由于本次事件始于一個偽裝成安卓系統(tǒng)服務(wù)的惡意軟件�,Check Point 的安全團(tuán)隊將此命名為 RottenSys(墮落的系統(tǒng))。
說到這款惡意軟件被發(fā)現(xiàn)的過程����,也是很曲折了。
雷鋒網(wǎng)發(fā)現(xiàn)��,最先開始,安全研究人員發(fā)現(xiàn)有不少用戶吐槽手機(jī)運(yùn)行速度大幅變慢��,并且總是接收到“系統(tǒng) WIFI 服務(wù)”崩潰的提示�,按理來說,一家這樣不奇怪����,但如果多款手機(jī)都出現(xiàn)這樣的問題,就有點蹊蹺了��。
以小米為例���,自去年 10 月底開始�,就有不少用戶在論壇里指出這個問題��,但當(dāng)時幾乎所有人都將問題歸咎于系統(tǒng)�������?梢哉f�,RottenSys 假扮系統(tǒng)軟件的策略相當(dāng)成功����。
但是��,當(dāng)研究人員對相關(guān)程序的數(shù)字簽名證書進(jìn)行查看后����,發(fā)現(xiàn)它不屬于任何已知小米移動生態(tài)圈證書��,與此同時�����,它也不具備任何系統(tǒng) Wi-Fi 相關(guān)的功能�����。
既然不是系統(tǒng)自帶的���,那惡意程序又是如何潛入用戶的手機(jī)中的�����?
Check Point 的研究人員在對“系統(tǒng) WIFI 服務(wù)”安裝信息仔細(xì)觀測及大量額外數(shù)據(jù)分析后�,懷疑該惡意軟件很可能安裝于手機(jī)出廠之后���、用戶購買之前的某個環(huán)節(jié)���。
據(jù) Check Point 透露����,幾乎一半的受感染手機(jī)是通過中國電話分銷商“Tian Pai”購買的���,該分銷商的員工可能會趁著手機(jī)到達(dá)用戶手中前��,在設(shè)備上安裝一些受RottenSys感染的應(yīng)用程序����。
每天約有 35 萬部手機(jī)輪番接到惡意廣告推送
通過對已知數(shù)據(jù)的深入分析���,Check Point認(rèn)為�,RottenSys 團(tuán)伙作案始于 2016 年 9 月���,但它并沒有馬上動手����,而是花了時間和精力調(diào)整��,使其擁有了更大的殺傷力�。
安全研究團(tuán)隊在采訪時坦言,雖然之前也見過不少 Android 惡意軟件����,但這么大規(guī)模的設(shè)備被感染,真不多見�,之所以黑客這次能得逞,還得益于這兩個在GitHub的開源項目��。
一個是由 Wequick 開發(fā)的 Small 開源架構(gòu)�,它能進(jìn)行隱秘的惡意模塊加載,RottenSys 初始病毒激活后����,會從黑客服務(wù)器靜默下載并加載 3 個惡意模塊,在1 至 3 天后�,就會嘗試接收、推送彈窗廣告�����。
另外一個����,是開源項目 MarsDaemon ��,它能幫助惡意程序?qū)崿F(xiàn)長期在系統(tǒng)上駐留����,并避免安卓關(guān)閉其后臺程序����。即使在用戶關(guān)閉它們之后,也無法關(guān)閉廣告注入機(jī)制��,可以說是很流氓了�。
“裝備”就位后,該團(tuán)伙在2017 年 7 月經(jīng)歷了爆發(fā)式增長�,據(jù)Check Point 統(tǒng)計:
截止2018年 3 月 12 日,累計受感染安卓手機(jī)總量高達(dá) 496 萬 4 千余部�����;受感染的手機(jī)中����,每天約有 35 萬部輪番受到惡意廣告推送的侵害。
受感染手機(jī)品牌分布(前五):榮耀����、華為���、小米���、OPPO, vivo����。
僅 3 月 3 日到 12 日 10 天期間�,RottenSys 團(tuán)伙向受害手機(jī)用戶強(qiáng)行推送了 1325 萬余次廣告展示,誘導(dǎo)獲得了 54 萬余次廣告點擊��。保守估計不正當(dāng)廣告收入約為 72 萬人民幣���。
花了錢買了手機(jī)����,到頭來還得遭受廣告騷擾���,受分銷商的盤剝�,真是心塞�。
受影響用戶問題排除方法
全世界的人都在用安卓,為何單單我們國家的安卓機(jī)總是躺槍����?
按理來說�����,蘋果和谷歌都是厲害又有錢的公司��,ios 和 Android 的安全性不應(yīng)該差這么多�����。
一個重要的點是�����,國內(nèi)的用戶����,如果不架梯子��,是不能在官方的“Google play”下載應(yīng)用的����,很多時候就得在手機(jī)廠商提供的應(yīng)用商店進(jìn)行下載,比如小米的用戶會在小米的商店來下載�����,華為的用戶是在華為的應(yīng)用商店……在安全方面,需要各自的廠商進(jìn)行安全防護(hù)�����。
更何況����,大多數(shù)用戶并不知道適當(dāng)?shù)腁ndroid安全最佳做法����,并且會經(jīng)常安裝來自第三方商店的應(yīng)用程序,這就加大了感染惡意程序的機(jī)會�����。
雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))發(fā)現(xiàn)��,以這次的 RottenSys 為例���,這類惡意軟件內(nèi)部操作模式唯一的弱點是安裝流程��,受RottenSys感染的應(yīng)用程序往往會要求一個巨大的權(quán)限列表�����,安全意識好����,并且細(xì)心的用戶可以輕松發(fā)現(xiàn)并避免安裝這些應(yīng)用程序。但是��,可惜的是����,并非所有的Android用戶都對隱私有意識,大多數(shù)日常用戶都傾向于為應(yīng)用程序提供所需的所有權(quán)限�����。
值得慶幸的是�,大多數(shù)情況下,RottenSys 初始惡意軟件安裝在手機(jī)的普通存儲區(qū)域(而非系統(tǒng)保護(hù)區(qū)域)��,受影響用戶可以自行卸載����。安全研究人員建議,如果你懷疑自己可能是 RottenSys 受害者,可以嘗試在安卓系統(tǒng)設(shè)置的 App 管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載:
地球最臟生物:禿鷲在腿上撒尿起到殺菌作用
關(guān)注樓主