作者:郭佳
用戶(hù)在哪里,油水就在哪里���。
對(duì)于這條“金科玉律”��,黑產(chǎn)從業(yè)者有著透徹的領(lǐng)悟����。
回想一下,你以前在使用電腦時(shí)所遇到的那些問(wèn)題�,現(xiàn)在是不是逐步轉(zhuǎn)移到了手機(jī)上?
比如��,手機(jī)有時(shí)會(huì)卡�,運(yùn)行變慢;總是有煩人的廣告彈窗出現(xiàn)�����;某些程序正在偷偷的竊取你的隱私信息……
最近���,安全公司 Check Point 發(fā)現(xiàn)了中國(guó)多款主流安卓手機(jī)�����,正遭受同一個(gè)團(tuán)伙制造的手機(jī)惡意廣告推送����,中招的有榮耀�����、華為���、小米���、OPPO、vivo等�����。
這些惡意程序到底是如何潛入手機(jī)的���?中招后手機(jī)會(huì)出現(xiàn)哪些癥狀��?如何見(jiàn)招拆招����?且聽(tīng)雷鋒網(wǎng)為你慢慢分析�。
披著羊皮的狼---RottenSys
由于本次事件始于一個(gè)偽裝成安卓系統(tǒng)服務(wù)的惡意軟件,Check Point 的安全團(tuán)隊(duì)將此命名為 RottenSys(墮落的系統(tǒng))���。
說(shuō)到這款?lèi)阂廛浖话l(fā)現(xiàn)的過(guò)程��,也是很曲折了�����。
雷鋒網(wǎng)發(fā)現(xiàn)���,最先開(kāi)始�,安全研究人員發(fā)現(xiàn)有不少用戶(hù)吐槽手機(jī)運(yùn)行速度大幅變慢�����,并且總是接收到“系統(tǒng) WIFI 服務(wù)”崩潰的提示���,按理來(lái)說(shuō)����,一家這樣不奇怪�,但如果多款手機(jī)都出現(xiàn)這樣的問(wèn)題,就有點(diǎn)蹊蹺了�。
以小米為例,自去年 10 月底開(kāi)始����,就有不少用戶(hù)在論壇里指出這個(gè)問(wèn)題�,但當(dāng)時(shí)幾乎所有人都將問(wèn)題歸咎于系統(tǒng)������?梢哉f(shuō)�����,RottenSys 假扮系統(tǒng)軟件的策略相當(dāng)成功�����。
但是�,當(dāng)研究人員對(duì)相關(guān)程序的數(shù)字簽名證書(shū)進(jìn)行查看后,發(fā)現(xiàn)它不屬于任何已知小米移動(dòng)生態(tài)圈證書(shū)��,與此同時(shí)��,它也不具備任何系統(tǒng) Wi-Fi 相關(guān)的功能����。
既然不是系統(tǒng)自帶的,那惡意程序又是如何潛入用戶(hù)的手機(jī)中的����?
Check Point 的研究人員在對(duì)“系統(tǒng) WIFI 服務(wù)”安裝信息仔細(xì)觀(guān)測(cè)及大量額外數(shù)據(jù)分析后�����,懷疑該惡意軟件很可能安裝于手機(jī)出廠(chǎng)之后�����、用戶(hù)購(gòu)買(mǎi)之前的某個(gè)環(huán)節(jié)�����。
據(jù) Check Point 透露��,幾乎一半的受感染手機(jī)是通過(guò)中國(guó)電話(huà)分銷(xiāo)商“Tian Pai”購(gòu)買(mǎi)的���,該分銷(xiāo)商的員工可能會(huì)趁著手機(jī)到達(dá)用戶(hù)手中前,在設(shè)備上安裝一些受RottenSys感染的應(yīng)用程序����。
每天約有 35 萬(wàn)部手機(jī)輪番接到惡意廣告推送
通過(guò)對(duì)已知數(shù)據(jù)的深入分析,Check Point認(rèn)為���,RottenSys 團(tuán)伙作案始于 2016 年 9 月�,但它并沒(méi)有馬上動(dòng)手,而是花了時(shí)間和精力調(diào)整�,使其擁有了更大的殺傷力。
安全研究團(tuán)隊(duì)在采訪(fǎng)時(shí)坦言���,雖然之前也見(jiàn)過(guò)不少 Android 惡意軟件���,但這么大規(guī)模的設(shè)備被感染,真不多見(jiàn)��,之所以黑客這次能得逞�����,還得益于這兩個(gè)在GitHub的開(kāi)源項(xiàng)目�。
一個(gè)是由 Wequick 開(kāi)發(fā)的 Small 開(kāi)源架構(gòu)�����,它能進(jìn)行隱秘的惡意模塊加載�,RottenSys 初始病毒激活后,會(huì)從黑客服務(wù)器靜默下載并加載 3 個(gè)惡意模塊���,在1 至 3 天后�����,就會(huì)嘗試接收�����、推送彈窗廣告�����。
另外一個(gè)����,是開(kāi)源項(xiàng)目 MarsDaemon ,它能幫助惡意程序?qū)崿F(xiàn)長(zhǎng)期在系統(tǒng)上駐留�,并避免安卓關(guān)閉其后臺(tái)程序。即使在用戶(hù)關(guān)閉它們之后�����,也無(wú)法關(guān)閉廣告注入機(jī)制���,可以說(shuō)是很流氓了�����。
“裝備”就位后��,該團(tuán)伙在2017 年 7 月經(jīng)歷了爆發(fā)式增長(zhǎng)���,據(jù)Check Point 統(tǒng)計(jì):
截止2018年 3 月 12 日�����,累計(jì)受感染安卓手機(jī)總量高達(dá) 496 萬(wàn) 4 千余部����;受感染的手機(jī)中��,每天約有 35 萬(wàn)部輪番受到惡意廣告推送的侵害��。
受感染手機(jī)品牌分布(前五):榮耀�、華為���、小米�、OPPO, vivo����。
僅 3 月 3 日到 12 日 10 天期間��,RottenSys 團(tuán)伙向受害手機(jī)用戶(hù)強(qiáng)行推送了 1325 萬(wàn)余次廣告展示�,誘導(dǎo)獲得了 54 萬(wàn)余次廣告點(diǎn)擊�。保守估計(jì)不正當(dāng)廣告收入約為 72 萬(wàn)人民幣。
花了錢(qián)買(mǎi)了手機(jī)��,到頭來(lái)還得遭受廣告騷擾���,受分銷(xiāo)商的盤(pán)剝����,真是心塞���。
受影響用戶(hù)問(wèn)題排除方法
全世界的人都在用安卓�,為何單單我們國(guó)家的安卓機(jī)總是躺槍?zhuān)?/p>
按理來(lái)說(shuō)���,蘋(píng)果和谷歌都是厲害又有錢(qián)的公司�,ios 和 Android 的安全性不應(yīng)該差這么多�。
一個(gè)重要的點(diǎn)是,國(guó)內(nèi)的用戶(hù)���,如果不架梯子���,是不能在官方的“Google play”下載應(yīng)用的�����,很多時(shí)候就得在手機(jī)廠(chǎng)商提供的應(yīng)用商店進(jìn)行下載�,比如小米的用戶(hù)會(huì)在小米的商店來(lái)下載���,華為的用戶(hù)是在華為的應(yīng)用商店……在安全方面���,需要各自的廠(chǎng)商進(jìn)行安全防護(hù)。
更何況����,大多數(shù)用戶(hù)并不知道適當(dāng)?shù)腁ndroid安全最佳做法,并且會(huì)經(jīng)常安裝來(lái)自第三方商店的應(yīng)用程序��,這就加大了感染惡意程序的機(jī)會(huì)��。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))發(fā)現(xiàn)�����,以這次的 RottenSys 為例��,這類(lèi)惡意軟件內(nèi)部操作模式唯一的弱點(diǎn)是安裝流程���,受RottenSys感染的應(yīng)用程序往往會(huì)要求一個(gè)巨大的權(quán)限列表��,安全意識(shí)好�,并且細(xì)心的用戶(hù)可以輕松發(fā)現(xiàn)并避免安裝這些應(yīng)用程序�。但是,可惜的是�,并非所有的Android用戶(hù)都對(duì)隱私有意識(shí),大多數(shù)日常用戶(hù)都傾向于為應(yīng)用程序提供所需的所有權(quán)限�。
值得慶幸的是,大多數(shù)情況下���,RottenSys 初始惡意軟件安裝在手機(jī)的普通存儲(chǔ)區(qū)域(而非系統(tǒng)保護(hù)區(qū)域)���,受影響用戶(hù)可以自行卸載。安全研究人員建議�����,如果你懷疑自己可能是 RottenSys 受害者�����,可以嘗試在安卓系統(tǒng)設(shè)置的 App 管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載:
地球最臟生物:禿鷲在腿上撒尿起到殺菌作用
關(guān)注樓主