导语:RottenSys,一款手机广告恶意软件,自2016年开始已经累计感染接近500万设备。通过分析C&C服务器,发现一个新的僵尸网络正在形成。
主要发现
· RottenSys是一款手机广告恶意软件,自2016年开始已经累计感染接近500万设备。
· 一些消息显示该恶意软件可以很快地进入供应链中。
· 攻击者已经通过同样的C&C服务器测试了新的僵尸网络。
恶意软件运作流程
Check Point手机安全团队发现一款感染了将近500万用户进行欺骗广告的恶意软件家族——RottenSys,该恶意软件最早的时候伪装成系统WIFI服务。
最近,红米手机中出现一款自称是系统WiFi服务的应用,研究人员发现该应用不向用户提供任何的安全WiFi相关的服务。该应用会请求一些敏感的安卓权限,包括accessibility service权限,用户日历读取权限,静默下载权限,这些都是与WiFi服务无关的。
图1:RottenSys请求的权限列表
RottenSys的恶意操作
RottenSys使用了两种避免检测的技术。首先是设定延迟操作的时间,避免将恶意应用和恶意活动建立连接。第二个是含有dropper组件,该组件是不进行任何恶意活动的。当设备启动时,dropper就会安装,并与C&C服务器连接,C&C会发送该部件活动需要的其他部件。这些组件会在dropper接收到下载列表后从C&C服务器下载,组件中含有真实的恶意代码。
RottenSys用DOWNLOAD_WITHOUT_NOTIFICATION权限在不需要用户交互的情况下静默地下载这些恶意组件。通常,恶意软件会下载3个额外的组件。当必要的组件都下载完成后,RottenSys会用使用开源的安卓应用虚拟化框架‘Small’(github.com/wequick/small)。该框架允许所有的组件同时运行,在设备的主屏上展示广告,比如弹窗和全屏广告。RottenSys使用的是广电通和百度广告平台进行广告欺骗行为。
图2:small 框架融合功能的代码
为了避免被安卓系统发现并停止这些行为,RottenSys使用了另一个开源框架MarsDaemon (github.com/Marswin/MarsDaemon)。MarsDaemon会保持进程活动,也会影响设备的性能和电量使用。小米论坛中出现了关于该应用的讨论。
图3:小米论坛中关于应用广告的帖子
图4:有用户说Rottensys变种的活动使设备性能降低了
有许多的用户都表达了同样的抱怨。最早的可以追溯到2017年10月。
改进的行为
研究发现,RottenSys有许多的payload变种。每个变种适用于不同的行动、设备类型、广告平台和传播渠道。
在上面的恶意软件传播渠道中,天湃浅装和天湃桌面可能与一家杭州的手机供应分销商——杭州天湃网络科技有限公司有关。通过天湃感染的设备占了所有感染设备总数的49.2%,工商总局的注册信息显示,天湃科技的主营业务是网络技术、计算机软硬件的技术开发、技术服务、技术咨询、成果转让;计算机系统集成。其官网信息显示杭州天湃网络科技有限公司,是一家电子商务贸易有限公司。公司主营业务涵盖了手机批发、手机实体零售、手机网络销售、手机售后维修、手机软件下载及系统的更新,是一家集售前与售后为一体的手机销售服务公司。公司与三星、HTC、苹果、小米、中兴、酷派、联想、华为等国内外知名手机厂商建立了扎实合作基础,同时与浙江移动公司达成了良好的战略合作协议。
目前该网站已无法正常访问,显示正在改版中。
天湃可能并没有直接参与该恶意活动。这是基于恶意软件在用户购买前就进入用户设备中了的假设。
效果和影响
研究人员会进一步收集数据来查看恶意活动的范围影响。
RottenSys应该是从2016年9月就开始运行了,截止2018年3月12日,一共有496万设备被感染,受影响的品牌有荣耀、华为、小米等。
随着感染的设备越来越多,根据不同的变种,出现不同的C&C服务器。研究人员相信,实际的受害者数量远不止此。
金钱交易
RottenSys是一个极具攻击性的广告网络。在过去的10天里,广告的点击量就达到1325万次,研究人员推算出了点击量与背后的收益关系,计算公式是每次点击20美分,每千次观看40美分的收入。经过估算,在过去的10天里,攻击者的收入是11.5万美元。
探索新领域
研究人员在调查RottenSys时发现攻击者可能不仅向用户展示了广告,可能还会造成更多的伤害。攻击者从2018年2月起在同样的C&C服务器上持续测试新的僵尸网络活动。
攻击者计划利用腾讯的Tinker应用虚拟化框架作为dropper机制。传播的payload可以将受害者的设备变成僵尸网络的一部分。该僵尸网络可以的扩展功能有静默安装额外的应用和UI自动化。
僵尸网络的一部分控制机制是用Lua脚本实现的。在没有干预的情况下,攻击者可以重用现有的恶意软件传播渠道,迅速扩张僵尸网络。
图5:僵尸网络的恶意payload jar文件
缓解措施
定位安卓主屏上展示的广告源对大多数用户来说是很难的,所以也就更难缓解。不过,用户可以找到应用名并卸载RottenSys dropper。如果你的手机在主屏上展示一些未知来源的广告,可以进入系统设定,应用管理器,寻找可能的恶意软件名并卸载。
思考
手机设备还没有到用户手中就被入侵了,但也不是第一次遇到这样的情况了。几周前,网上爆出一些廉价的安卓手机固件中被嵌入了恶意软件。虽然这次受影响的品牌和恶意软件的价值都不同,但问题是真实存在的。我们应该考虑的是从厂商端去确保手机设备的安全性,共同去构建手机设备和系统的安全生态环境。