姜鵬

回想一下，你以前在使用電腦時所遇到的那些問題，現(xiàn)在是不是逐步轉(zhuǎn)移到了手機上？比如，手機有時會卡，運行變慢；總是有煩人的廣告彈窗出現(xiàn)；某些程序正在偷偷的竊取你的隱私信息……

最近，安全公司CheckPoint發(fā)現(xiàn)了中國多款主流安卓手機，正遭受同一個團伙制造的手機惡意廣告推送，中招的有榮耀、華為、小米、OPPO、vivo等。

這些惡意程序到底是如何潛入手機的？中招后手機會出現(xiàn)哪些癥狀？如何見招拆招？下面為你慢慢分析。

披著羊皮的狼———RottenSys

由于本次事件始于一個偽裝成安卓系統(tǒng)服務(wù)的惡意軟件，CheckPoint的安全團隊將此命名為RottenSys。

說到這款惡意軟件被發(fā)現(xiàn)的過程，也是很曲折了。

最先開始，安全研究人員發(fā)現(xiàn)有不少用戶吐槽手機運行速度大幅變慢，并且總是接收到“系統(tǒng)WiFi服務(wù)”崩潰的提示，按理來說，一家這樣不奇怪，但如果多款手機都出現(xiàn)這樣的問題，就有點蹊蹺了。

以小米為例，自2017年10月底開始，就有不少用戶在論壇里指出這個問題，但當時幾乎所有人都將問題歸咎于系統(tǒng)?？梢哉f，RottenSys假扮系統(tǒng)軟件的策略相當成功。

但是，當研究人員對相關(guān)程序的數(shù)字簽名證書進行查看后，發(fā)現(xiàn)它不屬于任何已知小米移動生態(tài)圈證書，與此同時，它也不具備任何系統(tǒng)WiFi相關(guān)的功能。

既然不是系統(tǒng)自帶的，那惡意程序又是如何潛入用戶的手機中的？

CheckPoint的研究人員在對“系統(tǒng)WiFi服務(wù)”安裝信息仔細觀測及大量額外數(shù)據(jù)分析后，懷疑該惡意軟件很可能安裝于手機出廠之后、用戶購買之前的某個環(huán)節(jié)。

據(jù)CheckPoint透露，幾乎一半的受感染手機是通過電話分銷商購買的，分銷商的員工可能會趁著手機到達用戶手中前，在設(shè)備上安裝一些受RottenSys感染的應(yīng)用程序。

每天約有35萬部手機輪番接到惡意廣告推送

通過對已知數(shù)據(jù)的深入分析，CheckPoint認為，RottenSys團伙作案始于2016年9月，但它并沒有馬上動手，而是花了時間和精力調(diào)整，使其擁有了更大的殺傷力。

安全研究團隊在采訪時坦言，雖然之前也見過不少Android惡意軟件，但這么大規(guī)模的設(shè)備被感染，真不多見，之所以黑客這次能得逞，還得益于這兩個在GitHub的開源項目。

一個是由Wequick開發(fā)的Small開源架構(gòu)，它能進行隱秘的惡意模塊加載，RottenSys初始病毒激活后，會從黑客服務(wù)器靜默下載并加載3個惡意模塊，在1～3天后，就會嘗試接收、推送彈窗廣告。

另外一個，是開源項目MarsDaemon，它能幫助惡意程序?qū)崿F(xiàn)長期在系統(tǒng)上駐留，并避免安卓關(guān)閉其后臺程序。即使在用戶關(guān)閉它們之后，也無法關(guān)閉廣告注入機制，可以說是很流氓了。

“裝備”就位后，該團伙在2017年7月經(jīng)歷了爆發(fā)式增長，據(jù)CheckPoint統(tǒng)計：

截止2018年3月12日，累計受感染安卓手機總量高達496萬4千余部；受感染的手機中，每天約有35萬部輪番受到惡意廣告推送的侵害。

僅3月3日到12日10天期間，RottenSys團伙向受害手機用戶強行推送了1 325萬余次廣告展示，誘導(dǎo)獲得了54萬余次廣告點擊。保守估計不正當廣告收入約為72萬人民幣。花了錢買了手機，到頭來還得遭受廣告騷擾，受分銷商的盤剝，真是心塞。

受影響用戶問題排除方法

國內(nèi)用戶大多在手機廠商提供的應(yīng)用商店進行下載，比如小米的用戶會在小米的商店來下載，華為的用戶是在華為的應(yīng)用商店……在安全方面，需要各自的廠商進行安全防護。

更何況，大多數(shù)用戶并不知道適當?shù)腁ndroid安全最佳做法，并且會經(jīng)常安裝來自第三方商店的應(yīng)用程序，這就加大了感染惡意程序的機會。

以這次的RottenSys為例，這類惡意軟件內(nèi)部操作模式唯一的弱點是安裝流程，受RottenSys感染的應(yīng)用程序往往會要求一個巨大的權(quán)限列表，安全意識好，并且細心的用戶可以輕松發(fā)現(xiàn)并避免安裝這些應(yīng)用程序。但是，可惜的是，并非所有的Android用戶都對隱私有意識，大多數(shù)日常用戶都傾向于為應(yīng)用程序提供所需的所有權(quán)限。

值得慶幸的是，大多數(shù)情況下，RottenSys初始惡意軟件安裝在手機的普通存儲區(qū)域（而非系統(tǒng)保護區(qū)域），受影響用戶可以自行卸載。