作者:郭佳
用戶在哪里,油水就在哪里�。
對(duì)于這條“金科玉律”,黑產(chǎn)從業(yè)者有著透徹的領(lǐng)悟�。
回想一下,你以前在使用電腦時(shí)所遇到的那些問(wèn)題����,現(xiàn)在是不是逐步轉(zhuǎn)移到了手機(jī)上���?
比如,手機(jī)有時(shí)會(huì)卡�,運(yùn)行變慢;總是有煩人的廣告彈窗出現(xiàn)���;某些程序正在偷偷的竊取你的隱私信息……
最近����,安全公司 Check Point 發(fā)現(xiàn)了中國(guó)多款主流安卓手機(jī)����,正遭受同一個(gè)團(tuán)伙制造的手機(jī)惡意廣告推送,中招的有榮耀����、華為、小米���、OPPO����、vivo等。
這些惡意程序到底是如何潛入手機(jī)的�����?中招后手機(jī)會(huì)出現(xiàn)哪些癥狀���?如何見招拆招?且聽雷鋒網(wǎng)為你慢慢分析����。
披著羊皮的狼---RottenSys
由于本次事件始于一個(gè)偽裝成安卓系統(tǒng)服務(wù)的惡意軟件,Check Point 的安全團(tuán)隊(duì)將此命名為 RottenSys(墮落的系統(tǒng))�����。
說(shuō)到這款惡意軟件被發(fā)現(xiàn)的過(guò)程���,也是很曲折了�。
雷鋒網(wǎng)發(fā)現(xiàn)��,最先開始��,安全研究人員發(fā)現(xiàn)有不少用戶吐槽手機(jī)運(yùn)行速度大幅變慢��,并且總是接收到“系統(tǒng) WIFI 服務(wù)”崩潰的提示,按理來(lái)說(shuō)���,一家這樣不奇怪����,但如果多款手機(jī)都出現(xiàn)這樣的問(wèn)題���,就有點(diǎn)蹊蹺了�����。
以小米為例��,自去年 10 月底開始�����,就有不少用戶在論壇里指出這個(gè)問(wèn)題�����,但當(dāng)時(shí)幾乎所有人都將問(wèn)題歸咎于系統(tǒng)������?梢哉f(shuō),RottenSys 假扮系統(tǒng)軟件的策略相當(dāng)成功����。
但是,當(dāng)研究人員對(duì)相關(guān)程序的數(shù)字簽名證書進(jìn)行查看后����,發(fā)現(xiàn)它不屬于任何已知小米移動(dòng)生態(tài)圈證書��,與此同時(shí)�����,它也不具備任何系統(tǒng) Wi-Fi 相關(guān)的功能�。
既然不是系統(tǒng)自帶的,那惡意程序又是如何潛入用戶的手機(jī)中的���?
Check Point 的研究人員在對(duì)“系統(tǒng) WIFI 服務(wù)”安裝信息仔細(xì)觀測(cè)及大量額外數(shù)據(jù)分析后��,懷疑該惡意軟件很可能安裝于手機(jī)出廠之后����、用戶購(gòu)買之前的某個(gè)環(huán)節(jié)。
據(jù) Check Point 透露����,幾乎一半的受感染手機(jī)是通過(guò)中國(guó)電話分銷商“Tian Pai”購(gòu)買的,該分銷商的員工可能會(huì)趁著手機(jī)到達(dá)用戶手中前����,在設(shè)備上安裝一些受RottenSys感染的應(yīng)用程序。
每天約有 35 萬(wàn)部手機(jī)輪番接到惡意廣告推送
通過(guò)對(duì)已知數(shù)據(jù)的深入分析����,Check Point認(rèn)為,RottenSys 團(tuán)伙作案始于 2016 年 9 月���,但它并沒有馬上動(dòng)手�����,而是花了時(shí)間和精力調(diào)整�,使其擁有了更大的殺傷力���。
安全研究團(tuán)隊(duì)在采訪時(shí)坦言����,雖然之前也見過(guò)不少 Android 惡意軟件,但這么大規(guī)模的設(shè)備被感染�����,真不多見��,之所以黑客這次能得逞�,還得益于這兩個(gè)在GitHub的開源項(xiàng)目。
一個(gè)是由 Wequick 開發(fā)的 Small 開源架構(gòu)��,它能進(jìn)行隱秘的惡意模塊加載�,RottenSys 初始病毒激活后��,會(huì)從黑客服務(wù)器靜默下載并加載 3 個(gè)惡意模塊����,在1 至 3 天后,就會(huì)嘗試接收�、推送彈窗廣告。
另外一個(gè)��,是開源項(xiàng)目 MarsDaemon ���,它能幫助惡意程序?qū)崿F(xiàn)長(zhǎng)期在系統(tǒng)上駐留�,并避免安卓關(guān)閉其后臺(tái)程序。即使在用戶關(guān)閉它們之后����,也無(wú)法關(guān)閉廣告注入機(jī)制,可以說(shuō)是很流氓了�。
“裝備”就位后,該團(tuán)伙在2017 年 7 月經(jīng)歷了爆發(fā)式增長(zhǎng)��,據(jù)Check Point 統(tǒng)計(jì):
截止2018年 3 月 12 日����,累計(jì)受感染安卓手機(jī)總量高達(dá) 496 萬(wàn) 4 千余部;受感染的手機(jī)中�����,每天約有 35 萬(wàn)部輪番受到惡意廣告推送的侵害�����。
受感染手機(jī)品牌分布(前五):榮耀����、華為��、小米����、OPPO, vivo�。
僅 3 月 3 日到 12 日 10 天期間,RottenSys 團(tuán)伙向受害手機(jī)用戶強(qiáng)行推送了 1325 萬(wàn)余次廣告展示��,誘導(dǎo)獲得了 54 萬(wàn)余次廣告點(diǎn)擊����。保守估計(jì)不正當(dāng)廣告收入約為 72 萬(wàn)人民幣。
花了錢買了手機(jī)�����,到頭來(lái)還得遭受廣告騷擾��,受分銷商的盤剝�����,真是心塞���。
受影響用戶問(wèn)題排除方法
全世界的人都在用安卓�,為何單單我們國(guó)家的安卓機(jī)總是躺槍��?
按理來(lái)說(shuō)�����,蘋果和谷歌都是厲害又有錢的公司����,ios 和 Android 的安全性不應(yīng)該差這么多。
一個(gè)重要的點(diǎn)是���,國(guó)內(nèi)的用戶����,如果不架梯子��,是不能在官方的“Google play”下載應(yīng)用的���,很多時(shí)候就得在手機(jī)廠商提供的應(yīng)用商店進(jìn)行下載��,比如小米的用戶會(huì)在小米的商店來(lái)下載�,華為的用戶是在華為的應(yīng)用商店……在安全方面�,需要各自的廠商進(jìn)行安全防護(hù)��。
更何況��,大多數(shù)用戶并不知道適當(dāng)?shù)腁ndroid安全最佳做法�����,并且會(huì)經(jīng)常安裝來(lái)自第三方商店的應(yīng)用程序���,這就加大了感染惡意程序的機(jī)會(huì)。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))發(fā)現(xiàn)����,以這次的 RottenSys 為例,這類惡意軟件內(nèi)部操作模式唯一的弱點(diǎn)是安裝流程���,受RottenSys感染的應(yīng)用程序往往會(huì)要求一個(gè)巨大的權(quán)限列表�����,安全意識(shí)好����,并且細(xì)心的用戶可以輕松發(fā)現(xiàn)并避免安裝這些應(yīng)用程序�����。但是���,可惜的是��,并非所有的Android用戶都對(duì)隱私有意識(shí)���,大多數(shù)日常用戶都傾向于為應(yīng)用程序提供所需的所有權(quán)限。
值得慶幸的是�����,大多數(shù)情況下�,RottenSys 初始惡意軟件安裝在手機(jī)的普通存儲(chǔ)區(qū)域(而非系統(tǒng)保護(hù)區(qū)域),受影響用戶可以自行卸載���。安全研究人員建議���,如果你懷疑自己可能是 RottenSys 受害者,可以嘗試在安卓系統(tǒng)設(shè)置的 App 管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載:
地球最臟生物:禿鷲在腿上撒尿起到殺菌作用
關(guān)注樓主