截至今年3月12日,近500万支Android手机在供应链端就遭到RottenSys感染,前三大被感染的手机包括荣耀、华为及小米。除了传播广告,RottenSys也可被用于安装其它恶意程序。
网络安全企业Check Point本周披露了一名为RottenSys的广告程序家族,感染了中国近500万支的Android手机,并指出该恶意程序家族是在供应链阶段、尚未送到消费者手机前就被植入的,受感染的装备中,有49.2%出自杭州的天湃网络科技。
Check Point之所以会注意到RottenSys是因为该公司在小米科技的红米手机上看到一个自称为“系统Wi-Fi服务”应用程序,却发现该程序不但与Wi-Fi安全性一点关联都没有,还要求手机赋予该程序下载或读取行程表等权限,追查之下才知道它其实是个广告程序,而且可下载其它恶意程序。
从2016年9月RottenSys第一次现踪到今年的3月12日,已有496万支Android手机感染了RottenSys,它有各种依照活动内容、装备形态与广告平台的变种,但皆受到同样C&C服务器的控制,被Check Point归类为僵尸网络。
此外,分析也显示这些装备是在供应链阶段就感染了RottenSys,其中有49.2%来自于杭州的天湃网络科技。天湃的业务包括手机批发、零售、维修、程序下载与系统更新等,合作的手机品牌涵盖了三星、HTC、苹果、小米、中兴、联想及华为等。
至于前三大感染RottenSys的Android手机品牌则依次是华为网络手机品牌荣耀(Honor)、华为与小米。 (来源:CheckPoint)
RottenSys最主要的恶意活动是广告,它在十天内于近500万支手机上跳出了超过1300万次的广告,然而,有鉴于它具备安装其它程序的能力,也可能造成其它更危险的后果,例如传播勒索程序。
在技术上,RottenSys使用了两个开源码项目,一是替恶意组件创建虚拟化容器以同时执行各种恶意活动的Samll,其次则是用来避免Android系统关闭其操作的MarsDaemon,值得注意的是,用来保持恶意程序在装备上持续进行的MarsDaemon同时也会妨碍装备的性能与电池寿命。
为了躲避侦测,RottenSys会延后移动的时间,也会在自C&C服务器下载各种恶意组件之后才展开运行。