近500萬部安卓手機感染惡意廣告病毒，小米華為OPPO等中招

用戶在哪裡，油水就在哪裡。

對於這條「金科玉律」，黑產從業者有著透徹的領悟。

回想一下，你以前在使用電腦時所遇到的那些問題，現在是不是逐步轉移到了手機上？

比如，手機有時會卡，運行變慢；總是有煩人的廣告彈窗出現；某些程序正在偷偷的竊取你的隱私信息……

最近，安全公司 Check Point 發現了中國多款主流安卓手機，正遭受同一個團伙製造的手機惡意廣告推送，中招的有榮耀、華為、小米、OPPO、vivo等。

這些惡意程序到底是如何潛入手機的？中招後手機會出現哪些癥狀？如何見招拆招？且聽雷鋒網為你慢慢分析。

披著羊皮的狼---RottenSys

由於本次事件始於一個偽裝成安卓系統服務的惡意軟體，Check Point 的安全團隊將此命名為 RottenSys（墮落的系統）。

說到這款惡意軟體被發現的過程，也是很曲折了。

雷鋒網發現，最先開始，安全研究人員發現有不少用戶吐槽手機運行速度大幅變慢，並且總是接收到「系統 WIFI 服務」崩潰的提示，按理來說，一家這樣不奇怪，但如果多款手機都出現這樣的問題，就有點蹊蹺了。

以小米為例，自去年 10 月底開始，就有不少用戶在論壇里指出這個問題，但當時幾乎所有人都將問題歸咎於系統。可以說，RottenSys 假扮系統軟體的策略相當成功。

但是，當研究人員對相關程序的數字簽名證書進行查看後，發現它不屬於任何已知小米移動生態圈證書，與此同時，它也不具備任何系統 Wi-Fi 相關的功能。

既然不是系統自帶的，那惡意程序又是如何潛入用戶的手機中的？

Check Point 的研究人員在對「系統 WIFI 服務」安裝信息仔細觀測及大量額外數據分析後，懷疑該惡意軟體很可能安裝於手機出廠之後、用戶購買之前的某個環節。

據 Check Point 透露，幾乎一半的受感染手機是通過中國電話分銷商「Tian Pai」購買的，該分銷商的員工可能會趁著手機到達用戶手中前，在設備上安裝一些受RottenSys感染的應用程序。

通過對已知數據的深入分析，Check Point認為，RottenSys 團伙作案始於 2016 年 9 月，但它並沒有馬上動手，而是花了時間和精力調整，使其擁有了更大的殺傷力。

安全研究團隊在採訪時坦言，雖然之前也見過不少 Android 惡意軟體，但這麼大規模的設備被感染，真不多見，之所以黑客這次能得逞，還得益於這兩個在GitHub的開源項目。

一個是由 Wequick 開發的 Small 開源架構，它能進行隱秘的惡意模塊載入，RottenSys 初始病毒激活後，會從黑客伺服器靜默下載並載入 3 個惡意模塊，在1 至 3 天后，就會嘗試接收、推送彈窗廣告。

另外一個，是開源項目 MarsDaemon ，它能幫助惡意程序實現長期在系統上駐留，並避免安卓關閉其後台程序。即使在用戶關閉它們之後，也無法關閉廣告注入機制，可以說是很流氓了。

「裝備」就位後，該團伙在2017 年 7 月經歷了爆髮式增長，據Check Point 統計：

截止2018年 3 月 12 日，累計受感染安卓手機總量高達 496 萬 4 千餘部；受感染的手機中，每天約有 35 萬部輪番受到惡意廣告推送的侵害。

受感染手機品牌分布（前五）：榮耀、華為、小米、OPPO, vivo。

僅 3 月 3 日到 12 日 10 天期間，RottenSys 團伙向受害手機用戶強行推送了 1325 萬餘次廣告展示，誘導獲得了 54 萬餘次廣告點擊。保守估計不正當廣告收入約為 72 萬人民幣。

花了錢買了手機，到頭來還得遭受廣告騷擾，受分銷商的盤剝，真是心塞。

全世界的人都在用安卓，為何單單我們國家的安卓機總是躺槍？

按理來說，蘋果和谷歌都是厲害又有錢的公司，ios 和 Android 的安全性不應該差這麼多。

一個重要的點是，國內的用戶，如果不架梯子，是不能在官方的「Google play」下載應用的，很多時候就得在手機廠商提供的應用商店進行下載，比如小米的用戶會在小米的商店來下載，華為的用戶是在華為的應用商店……在安全方面，需要各自的廠商進行安全防護。

更何況，大多數用戶並不知道適當的Android安全最佳做法，並且會經常安裝來自第三方商店的應用程序，這就加大了感染惡意程序的機會。

雷鋒網發現，以這次的 RottenSys 為例，這類惡意軟體內部操作模式唯一的弱點是安裝流程，受RottenSys感染的應用程序往往會要求一個巨大的許可權列表，安全意識好，並且細心的用戶可以輕鬆發現並避免安裝這些應用程序。但是，可惜的是，並非所有的Android用戶都對隱私有意識，大多數日常用戶都傾向於為應用程序提供所需的所有許可權。

值得慶幸的是，大多數情況下，RottenSys 初始惡意軟體安裝在手機的普通存儲區域（而非系統保護區域），受影響用戶可以自行卸載。安全研究人員建議，如果你懷疑自己可能是 RottenSys 受害者，可以嘗試在安卓系統設置的 App 管理中尋找以下可能出現的軟體並進行卸載：

消息來源：doit，bleepingcomputer

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！