RottenSys 恶意攻击主流品牌手机,近 500 万台设备中招

摘要

近期,媒体曝光 Android 手机正遭受某个恶意团伙制造的手机恶意广告推送,国内主流手机品牌均受到影响。自去年 10 月底开始,有安卓手机用户反映手机突然变慢,并且总是接收「系统 WiFi 服务」崩溃的提示。对相关程序的数字签名证书进行查看后发现,「系统 WiFi 服务」既不属于任何已知的 Android 移动生态圈证书,也不具备任何系统 WiFi 相关功能。

近期,媒体曝光 Android 手机正遭受某个恶意团伙制造的手机恶意广告推送,国内主流手机品牌均受到影响。自去年 10 月底开始,有安卓手机用户反映手机突然变慢,并且总是接收「系统 WiFi 服务」崩溃的提示。对相关程序的数字签名证书进行查看后发现,「系统 WiFi 服务」既不属于任何已知的 Android 移动生态圈证书,也不具备任何系统 WiFi 相关功能。

此次 Android 设备受到的大范围攻击,其背后是恶意团伙制造的恶意软件——RottenSys(堕落的系统)从中作祟,伪装成系统服务应用进行传播。目前,腾讯手机管家依托自研杀毒引擎 TAV,对假冒系统服务的「系统 WiFi 服务」、「系统桌面」病毒软件实现了精准查杀。

(图:Android 手机遭遇 RottenSys 攻击,腾讯手机管家实现查杀)

事实上,RottenSys 伪装的系统应用并不是手机系统自带的,一些 Android 系统使用者通过未知第三方应用商店下载 App,增加了意外感染恶意程序的可能性;另一方面恶意程序可能安装于手机出厂后、用户购买前的某个环节。调查发现,超过一半受病毒感染的手机都是通过杭州一家网络科技公司购买,很可能曾被经销商偷偷安装一些已被 RottenSys 感染的恶意程序。

据了解,RottenSys 团伙活动始于 2016 年 9 月,团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期。相关数据显示,截止今年 3 月 12 日,被感染安卓手机总数高达 494 万 4 千余部。3 月 3 日至 12 日仅 10 天的时间,RottenSys 团伙向受害手机用户强行推送了 1325 万余次广告展示,诱导获得 54 万余次广告点击,保守估计不正当广告收入约为 72 万人民币。

腾讯手机管家安全专家杨启波指出,RottenSys 之所以导致如此严重的后果,也与其隐蔽性有着极大的关系,主要表现为:RottenSys 初始病毒激活后,从黑客服务器静默下载并加载 3 个恶意模块,等待 1 至 3 天后才开始尝试接收、推送全屏或弹窗广告;同时使用恶意模块加载,实现长期系统驻留、避免安卓关闭其后台程序的作案前提。

大多数情况下,RottenSys 初始恶意软件安装在手机的普通存储区域(而非系统保护区域),受影响用户可以自行卸载。腾讯手机管家安全专家杨启波提醒,如果用户怀疑自己可能是 RottenSys 受害者,可以尝试在安卓系统设置的 App 管理中寻找并卸载可疑软件;同时借助腾讯手机管家进行防护,对应用程序进行安全扫描及时识别风险,扫描「系统 WiFi 服务」、「系统桌面」等恶意软件并安全处理,避免更严重的后果。


最新文章

极客公园

用极客视角,追踪你最不可错过的科技圈。

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

顶楼

关注前沿科技,发表最具科技的商业洞见。