上周末,Check Point 移动安全团队注意到了出现在我们用户小米手机上的可疑“系统 WIFI 服务”。经过一周的追踪调查,我们发现了一个活跃中的手机恶意广告推送团伙及其相关活动。由于本次事件始于一个伪装成安卓系统服务的恶意软件,我们将此次事件命名为 RottenSys。
通过对已知数据的深入分析,Check Point认为:
- RottenSys 团伙活动始于 2016 年 9 月,团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期。
- 截止今年 3 月 12 日累计受感染安卓手机总量高达 496 万 4 千余部;受感染的手机中,每天约有 35 万部轮番受到恶意广告推送的侵害。
- 受感染手机品牌分布(前五):荣耀、华为、小米、OPPO, vivo。
- 仅 3 月 3 日到 12 日 10 天期间,RottenSys 团伙向受害手机用户强行推送了 1325 万余次广告展示,诱导获得了 54 万余次广告点击。保守估计不正当广告收入约为 72 万人民币。
用户影响
受感染手机用户会感受到手机运行速度大幅变慢,并伴以可疑“系统 WIFI 服务”频繁崩溃。
以小米用户论坛信息为例,我们发现从 17 年 10 月底开始出现了多个类似用户报告。然而几乎所有用户将问题归咎于系统。由此可见 RottenSys 假扮系统软件的策略相当成功。
病毒简述
RottenSys 初始病毒激活后,从黑客服务器静默下载并加载 3 个恶意模块。等待 1 至 3 天后,开始尝试接收、推送全屏或弹窗广告。病毒使用了由 Wequick 开发的 Small 开源架构进行隐秘的恶意模块加载,并使用另一个开源项目 MarsDaemon 来完成长期系统驻留、 避免安卓关闭其后台程序。
溯源简述
RottenSys 初始病毒的数字签名证书不属于任何已知小米移动生态圈证书,并且它不具备任何系统 Wi-Fi 相关的功能。用排除法,在对“系统 WIFI 服务”安装信息仔细观测及大量额外数据分析后,我们认为该恶意软件很可能安装于手机出厂之后、用户购买之前的某个环节。据进一步推算,大约 49.2%的已知 RottenSys 感染于此类方式。
受影响用户问题排除方法
值得庆幸的是,大多数情况下,RottenSys 初始恶意软件安装在手机的普通存储区域(而非系统保护区域)。受影响用户可以自行卸载。如果您怀疑自己可能是 RottenSys 受害者,您可以尝试在安卓系统设置的 App 管理中寻找以下可能出现的软件并进行卸载:
一些想法
这已经不是第一次手机信息安全圈发现手机在到达最终用户手上之前就被安插了恶意软件。 Dr. Web 等友商陆陆续续披露过类似的事件。不同的团伙,不同的恶意软件,相同的线下传播手法。写在消费者权益日之时,我们不禁想问,除了保证普通用户购买到硬件质量合格的手机以外,我们是否忽略了用户对一个洁净安全的初始系统的需求?我们怎样才能确保用户享用到这样一个令人放心的初始系统?这是一个摆在多个产业、机构面前的大课题。 Check Point 仅希望抛砖引玉,积极寻求合作,为信息安全尽绵薄之力。
Check Point 团队正在积极协助有关政府部门进行进一步调查。我们也乐于协助相关手机厂商通知已知受影响用户。