|
網(wǎng)絡(luò)安全公司Check Point的安全研究員Feixiang He,、Bohdan Melnykov和Elena Root在本周三為了我們帶來了一個重磅消息,。他們發(fā)現(xiàn),自2016年以來,,一款被命名為“RottenSys”的惡意廣告軟件已經(jīng)感染了近500萬臺移動設(shè)備,,而涵蓋的品牌包括榮耀、華為,、小米,、OPPO,、Vivo、三星和金立等,。 研究人員在一篇名為《RottenSys:完全不是安全的Wi-Fi服務(wù)(RottenSys: Not a Secure Wi-Fi Service At All)》的分析報告中對這一發(fā)現(xiàn)進(jìn)行了詳盡的分析,。在下文中,我們將為各位讀者展示這一份報告中的完整內(nèi)容,。 標(biāo)題:《RottenSys:完全不是安全的Wi-Fi服務(wù)(RottenSys: Not a Secure Wi-Fi Service At All)》 研究者:Feixiang He,,Bohdan Melnykov,Elena Root 主要調(diào)查結(jié)果:
Check Point移動安全團(tuán)隊發(fā)現(xiàn)了一個已被廣泛傳播的新型惡意軟件家族,針對近500萬用戶獲取欺詐性的廣告收入,。在我們發(fā)現(xiàn)的惡意軟件樣本中,,它被命名為“RottenSys”,最初它偽裝成了系統(tǒng)Wi-Fi服務(wù),。 惡意軟件如何運(yùn)作,?最近,小米紅米手機(jī)上的一個不尋常且自稱“系統(tǒng)WIFI服務(wù)”的系統(tǒng)服務(wù)引起了我們的注意,。我們的引擎顯示此應(yīng)用程序并不會向用戶提供任何安全的Wi-Fi相關(guān)服務(wù),。相反,它要求許多敏感的Android權(quán)限,,例如與Wi-Fi服務(wù)無關(guān)的無障礙服務(wù)權(quán)限,、用戶日歷讀取權(quán)限和靜默下載權(quán)限。 圖1:應(yīng)用程序請求的權(quán)限列表 RottenSys的惡意行為RottenSys使用兩種逃避技術(shù)。第一種是推遲其操作一段時間,,以避免被懷惡意應(yīng)用程序和惡意活動之間存在聯(lián)系,。 作為其第二種逃避策略,RottenSys僅包含一個滴管組件(dropper),,它最初不會顯示任何惡意活動,。一旦設(shè)備處于活動狀態(tài)并安裝了dropper,它就會聯(lián)系其命令與控制(C&C)服務(wù)器,,并向其發(fā)送活動所需的其他組件列表,。這些組件則包含了實際的惡意代碼,并在C&C服務(wù)器收到列表后從服務(wù)器上進(jìn)行下載,。 RottenSys在下載這些組件時,,使用了DOWNLOAD_WITHOUT_NOTIFICATION權(quán)限,以保證下載是在“無提示”的情況下進(jìn)行的,,并且該權(quán)限并不需要任何用戶交互,。通常,惡意軟件會下載三個附加組件,。 在所有必要的組件下載后,,RottenSys會使用一個名為“Small”的開源Android框架,這是一個Android應(yīng)用程序虛擬化框架,。該框架允許所有組件同時并排運(yùn)行,,并實現(xiàn)粗放廣告網(wǎng)絡(luò)的組合惡意功能,在設(shè)備的主屏幕上顯示廣告,、彈出窗口或全屏廣告,。 RottenSys適用于使用“廣點(diǎn)通”(騰訊廣告平臺)和百度廣告交易平臺進(jìn)行廣告欺詐操作。 圖2:“Small”框架組合功能的代碼片段 為了避免Android系統(tǒng)關(guān)閉其操作,RottenSys使用了另一個名為MarsDaemon的開源框架,。雖然MarsDaemon能夠保持進(jìn)程活躍,,但它也降低了設(shè)備的性能并十分消耗電池能量。一些Android論壇的用戶已經(jīng)注意到了這兩個副作用以及廣告活動,,并開始了抱怨: 圖3: 用戶在小米論壇上反應(yīng)主屏幕廣告問題 圖4:用戶抱怨設(shè)備性能變差,分屏模式出現(xiàn)“系統(tǒng)WIFI服務(wù)” 還有許多其他類似的用戶投訴,,涉及“系統(tǒng)WIFI服務(wù)”的投訴最早可以追溯到2017年10月,。 量身定制根據(jù)我們的發(fā)現(xiàn),RottenSys擁有一大批前面提到的有效載荷的變體(滴管和附加組件),。每個變體都針對不同的廣告系列,、設(shè)備類型、廣告平臺和傳播渠道量身定制,。 在觀察到的惡意軟件分銷渠道名單中,,我們看到了兩個名稱(“天湃淺裝”和“天痙桌面”),,這兩個名稱暗示可能與杭州一家手機(jī)供應(yīng)鏈分銷商“天派”存在關(guān)聯(lián)。 天派相關(guān)渠道貢獻(xiàn)了我們觀察到的受感染設(shè)備總數(shù)的49.2%,。根據(jù)中國《國家企業(yè)信用信息公示系統(tǒng)》記錄的信息,,天派提供從售前定制,、在線/離線批發(fā)到客戶服務(wù)等多種服務(wù)。它涵蓋三星,、宏達(dá)電,、蘋果、小米,、中興,、酷派、聯(lián)想,、華為等市場頂級品牌的區(qū)域銷售,。 天派可能不是該運(yùn)動的直接參與者。然而,,這與我們的假設(shè)相關(guān),,即在購買之前惡意軟件就已經(jīng)進(jìn)入了用戶的設(shè)備。 效果如何,?我們設(shè)法進(jìn)一步研究這種威脅,,并獲得了能夠顯示此惡意活動真實程度的數(shù)據(jù)。 我們確定了RottenSys使用的兩臺并行C&C服務(wù)器,。我們還設(shè)法分析攻擊并定義攻擊者操作的單獨(dú)渠道,,甚至確定向用戶顯示受感染設(shè)備和欺詐性廣告的數(shù)量。 衡量影響根據(jù)我們的調(diào)查結(jié)果,,RottenSys惡意軟件于2016年9月開始傳播,。截至2018年3月12日,RothenSys感染了4,964,460臺設(shè)備,。受影響最大的移動設(shè)備品牌是榮耀,、華為和小米。 隨著我們的調(diào)查進(jìn)一步深入,,我們發(fā)現(xiàn)了用于RottenSys初始滴管不同變體的更多C&C服務(wù)器。因此,,我們相信受害者的真實人數(shù)可能會更多,。 這一切都源自于“錢”RottenSys是一個極具侵略性的廣告網(wǎng)絡(luò)。僅在過去的10天中,,它就出現(xiàn)了13,250,756次攻擊性廣告(在廣告行業(yè)被稱為“印象”,,指廣告信息接觸受眾成員的一次機(jī)會),其中548,822次被轉(zhuǎn)化為廣告點(diǎn)擊次數(shù),。舉例來說,,我們保守估計每次點(diǎn)擊收益為20美分,、每千次“印象”收益為40美分。根據(jù)這些數(shù)據(jù)進(jìn)行計算,,僅在過去十天內(nèi),,攻擊者就從其惡意操作中賺取了超過11.5萬美元。 探索新的業(yè)務(wù)領(lǐng)域在調(diào)查RottenSys時,,我們發(fā)現(xiàn)的證據(jù)表明攻擊者所做的事情遠(yuǎn)比僅僅展示不請自來的廣告更具破壞性,。顯然,自2018年2月初以來,,攻擊者一直在通過相同的C&C服務(wù)器測試新的僵尸網(wǎng)絡(luò)活動,。 攻擊者計劃利用騰訊的Tinker應(yīng)用程序虛擬化框架作為dropper機(jī)制。意圖分發(fā)的有效載荷可以將受害者設(shè)備變成僵尸網(wǎng)絡(luò)的從屬設(shè)備,。這個僵尸網(wǎng)絡(luò)將具有廣泛的功能,,包括靜默安裝額外的應(yīng)用程序和UI自動化。有趣的是,,僵尸網(wǎng)絡(luò)的一部分控制機(jī)制是在Lua腳本中實現(xiàn)的,。在沒有干預(yù)的情況下,攻擊者可以重新使用他們現(xiàn)有的惡意軟件分發(fā)渠道,,并很快掌握數(shù)百萬設(shè)備的控制權(quán),。 緩解建議定位在Android主屏幕上顯示的惡意廣告的來源對于普通用戶來說始終是具有挑戰(zhàn)性的,,緩解更加困難。幸運(yùn)的是,,如果用戶知道要刪除的確切軟件包名稱,,則可以卸載RottenSys dropper。如果你的全新手機(jī)在主屏幕上遭遇未知廣告,,請轉(zhuǎn)到Android系統(tǒng)設(shè)置,,然后轉(zhuǎn)到應(yīng)用管理器,查找下表中展示的惡意應(yīng)用并將其卸載:
最后的想法這已經(jīng)不是我們第一次看到移動設(shè)備在它們接觸到普通消費(fèi)者之前就已經(jīng)遭到了破壞。僅在兩周前,,來自俄羅斯的防病毒供應(yīng)商Dr.Web就報告了類似的情況,,其中惡意軟件被嵌入在了一些低價為的Android智能手機(jī)固件中。 雖然受影響的品牌和惡意軟件機(jī)制這次在很大程度上有所不同,,但所反應(yīng)出的問題是非?,F(xiàn)實且一致的,。在最終用戶購買Android設(shè)備之前,誰應(yīng)該保護(hù)它,?如何讓普通用戶享受到安全的全新移動設(shè)備,?沒有直接的答案。行業(yè)必須采取行動,,因為數(shù)字安全是一項十分關(guān)鍵的消費(fèi)權(quán)利,。 |
|
|
來自: 昵稱11935121 > 《未命名》
