近期，國(guó)外安全廠商CheckPoint 公司發(fā)布了有關(guān)惡意廣告軟件RottenSys的報(bào)告，報(bào)告中提到中國(guó)地區(qū)多款安卓手機(jī)都被安裝了一個(gè)名為RottenSys的手機(jī)惡意軟件，目前已經(jīng)有許多安卓移動(dòng)設(shè)備有被感染的跡象。 作為移動(dòng)安全聯(lián)盟成員的360，對(duì)該樣本進(jìn)行了追蹤及詳細(xì)技術(shù)分析,并第一時(shí)間把RottenSys相關(guān)原理分析同步給了移動(dòng)安全聯(lián)盟。隨后，360安全團(tuán)隊(duì)還出具了《RottenSys事件分析報(bào)告》。

　　隱秘傳播：設(shè)備到手前就已被RottenSys潛伏

　　報(bào)告中指出，RottenSys用刷機(jī)或ROOT目標(biāo)設(shè)備等方式，在供應(yīng)環(huán)節(jié)上預(yù)裝在全新的智能手機(jī)中，然后通過(guò)一家名為“Tian Pai”的電話分銷平臺(tái)來(lái)發(fā)貨。也就是說(shuō)，在手機(jī)到達(dá)用戶手中前，RottenSys就已經(jīng)潛伏其中，從而達(dá)到感染傳播的效果。

　　RottenSys在感染了安卓手機(jī)后，便會(huì)偽裝成“系統(tǒng) Wi-Fi服務(wù)”等應(yīng)用，并通過(guò)不定期給用戶推送廣告或指定APP來(lái)盈利，給安卓手機(jī)用戶造成了一定的困擾。

　　不過(guò)，RottenSys惡意軟件的偽裝應(yīng)用不只有“系統(tǒng)Wi-Fi服務(wù)”這一種，還包括“每日黃歷”、“暢米桌面”等其他程序。其中，像“系統(tǒng)Wi-Fi服務(wù)”這種，由于大多數(shù)普通用戶很難對(duì)這樣的偽裝做出正確判斷，因此惡意軟件的存活也就變得顯而易見(jiàn)。

圖1：RottenSys相關(guān)的應(yīng)用程序

　　隱身攻擊：讓設(shè)備變成“傀儡”瘋狂吸金

　　在達(dá)到感染目的之后，該惡意軟件便會(huì)發(fā)動(dòng)攻擊，用戶不但會(huì)被廣告纏身，連手機(jī)效能也會(huì)被拖累。

　　一般來(lái)說(shuō)，RottenSys入侵后就會(huì)偽裝成系統(tǒng)服務(wù)進(jìn)程。然后，RottenSys還會(huì)獲取巨大的敏感權(quán)限列表，其中包括像靜默下載這樣的權(quán)限，使得用戶很難察覺(jué)到惡意軟件的更新、推廣，而且還會(huì)使用某些手段使得惡意程序在被感染設(shè)備關(guān)機(jī)或重啟之后，仍能輕易啟動(dòng)，以此來(lái)實(shí)現(xiàn)下載惡意廣告插件，給用戶推送廣告的目的。

圖2：惡意程序偽裝成“系統(tǒng)Wi-Fi服務(wù)”

　　之后，RottenSys就會(huì)變本加厲，它為了實(shí)現(xiàn)長(zhǎng)期系統(tǒng)駐留、避免安卓關(guān)閉其后臺(tái)程序，還會(huì)進(jìn)行推遲操作，入侵后在較長(zhǎng)一段時(shí)間內(nèi)才開始嘗試接收、推送彈窗廣告。另外，惡意模塊的加載也非常隱秘，并且模塊之間代碼不相互依賴，這使得惡意推廣變得更加靈活。

　　據(jù)統(tǒng)計(jì)，僅在短短10天時(shí)間內(nèi)，RottenSys惡意軟件便產(chǎn)生了1325萬(wàn)次廣告，其中超54萬(wàn)次轉(zhuǎn)化為廣告點(diǎn)擊，并為其作者盈利11.5萬(wàn)美元。由此可見(jiàn)，RottenSys的目的就是讓中招設(shè)備成為傀儡，利用廣告點(diǎn)擊等方式不斷為自己吸金，同時(shí)為了不被安全軟件和研究人員發(fā)現(xiàn)，還給自己披上了“隱身斗篷”企圖蒙混過(guò)關(guān)。

　　面對(duì)如此隱蔽而又猖狂的惡意軟件，360手機(jī)衛(wèi)士安全專家在此提醒廣大用戶，購(gòu)買手機(jī)或是下載安裝APP，最好通過(guò)官方、正規(guī)渠道，盡量避免“刷機(jī)”等存在安全隱患的行為。此外，在使用手機(jī)的過(guò)程中，還可安裝360手機(jī)衛(wèi)士等安全管理軟件，及時(shí)對(duì)應(yīng)用程序及安裝包進(jìn)行安全掃描，避免類似RottenSys的“潛伏者”帶來(lái)危害。