500萬Android設備被植入惡意廣告軟體，小米華為全部躺槍！

最近，Check Point的研究人員發現了一個感染500萬Android設備的廣告軟體 RottenSys，最初它偽裝成了系統Wi-Fi服務。研究人員表示，有證據顯示這種廣告程序已滲透進供應鏈，手機在出售前就預裝了該廣告程序。

RottenSys的惡意行為

RottenSys使用兩種逃避技術。第一種是將其操作推遲一段時間，以避免惡意應用程序和惡意活動之間的連接。

作為第二種逃避策略，RottenSys僅包含一個「滴管」（dropper）組件，開始並不顯示任何惡意行為，一旦設備處於活動狀態並完成安裝，就會聯繫其命令與控制（C＆C）伺服器，並發送活動所需的其他組件列表。這些組件包含實際的惡意代碼，並在收件人收到列表後從C＆C伺服器下載。

在所有必要的組件下載後，RottenSys利用託管在Github上的Android開源組件如Small和MarsDaemon，通過展示廣告和靜默下載獲利。在這一過程中它使用了騰訊和百度的廣告平台。

為了避免Android系統關閉其操作，RottenSys還使用了另一個名為MarsDaemon的開源框架。雖然MarsDaemon讓進程保持流暢，但它也阻礙了設備的性能並消耗電池。中國Android論壇的用戶已經注意到並開始抱怨這款應用程序的副作用了。

定製操作

研究人員發現，RottenSys擁有一大批有效負載的變體（滴管和附加組件）。每個變體都針對不同的廣告系列，設備類型，廣告平台和傳播渠道。經觀察，它的一個主要分銷渠道商是杭州的天湃，而天湃的手機客戶包括了三星、HTC、蘋果、小米、中興、酷派、聯想和華為。

造成的影響

根據Check Point的調查結果，最早在2016年9月，RottenSys就開始傳播，截止至2018年3月12日，共有 4,964,460個設備受到感染，其中受影響最大的品牌是榮耀、華為和小米。

這一切都是關於錢

Check Point監視了RottenSys的CC伺服器，發現它在十天之內彈出了13,250,756次廣告，其中548,822次轉換成點擊，根據每次點擊20美分和每千次展示40美元計算，RottenSys期間共獲利11.5萬美元。

探索操作新領域

在調查過程中，研究人員發現，攻擊者所做的事情遠比投放廣告更具破壞性——自2018年2月初以來，攻擊者一直在通過相同的C＆C伺服器測試新的殭屍網路活動。

攻擊者計劃利用騰訊的修補程序虛擬化框架作為一種「滴管」機制（dropper mechanism），這樣有待擴散的有效負載可以將受害者的設備編程更大的殭屍網路中的從屬設備。這個殭屍網路將具有廣泛的功能，包括靜默安裝額外的應用程序和UI自動化。

另外，殭屍網路的一部分控制機制是在Lua腳本中實現的，如果不進行干預，攻擊者可以重新使用他們現有的惡意軟體分發渠道，並很快掌握對數百萬設備的控制權。

如何減輕RottenSys的影響

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！