揭秘「RottenSys」 惡意軟體花式「隱匿術」

惡意軟體以「系統Wi-Fi服務」暗藏在用戶系統中。資料圖

法治周末記者 馬樹娟

如果你的安卓手機經常莫名其妙地收到一些廣告或者App，那就要提高警惕了，很可能你的手機被感染了「RottenSys」(墮落的系統)的惡意軟體。

近日，國外安全公司CheckPoint披露，中國多款主流安卓手機感染了一款名為「RottenSys」的惡意軟體，該軟體會在入侵用戶手機後，偽裝成「系統Wi-Fi服務」等應用，不定期給用戶推送廣告或指定的App，這一非法行為輕則導致手機出現卡頓現象，重則侵害到用戶的信息安全。

隨後，移動安全聯盟(MSA)成員單位360、安天公司對此事件進行了追蹤及詳細技術分析，並出具了《RottenSys事件分析報告》。報告中，360安全專家指出，該軟體的主要偽裝有多種類型，如「每日黃曆」「暢米桌面」等，其中以「系統Wi-Fi服務」程序為主。

報告披露，「RottenSys」的主要經由一家名為「Tian Pai」的電話分銷平台進行傳播。據統計，從2018年1月1日至3月15日，安卓手機的感染總量已超18萬部。

報告顯示，這些偽裝應用並非手機系統自帶，主要是用戶在未知的第三方應用商店下載App時意外感染，有的則是在手機出廠前後、用戶購買前的某一個環節被植入，讓用戶防不勝防。360安全專家稱，「Tian Pai」便是「RottenSys」乘虛而入的主要平台，如果廠商在「Tian Pai」平台的出貨量大則感染的概率較高。

據了解，「RottenSys」團伙活動始於2016年9月，在2017年經歷爆髮式增長後進入穩定增長期。相關數據顯示，3月3日至12日僅10天時間，「RottenSys」惡意軟體便產生了1325萬次廣告，其中超54萬次轉化為廣告點擊，保守估計，該團隊從中獲取的不正當廣告收入達11.5萬美元。

而「RottenSys」之所以不容易被用戶發現，還在於其自身具備多種「隱匿術」，以其偽裝成「系統Wi-Fi服務」為例，很多用戶會誤認為該程序不存在威脅，就不會對其進行刪除或卸載；此外，「系統Wi-Fi服務」還擁有敏感許可權列表，比如靜默安裝下載，這也更便利於其暗中行事；一旦該程序入侵用戶手機，還會在其「推遲操作」的策略下，在用戶手機中招後1至3天後才推送全屏或彈窗廣告……

然而，用戶想要徹底清除該惡意軟體，藉助常規的關機和重啟操作卻無濟於事，360安全專家介紹，這主要在於「系統Wi-Fi服務」使用了開源框架、廣播等手段來確保自身長期存活。

360安全專家提醒用戶，第三方銷售平台或應用商店都存有一定的安全隱患，最好通過官方、正規渠道購買手機或是下載安裝App。此外，在使用手機的過程中，還可藉助360手機衛士等安全管理軟體，對應用程序及安裝包進行安全掃描，以防惡意軟體暗藏其中，一經發現，可儘早查殺，避免其帶來更為慘重的後果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！