此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

网安要闻
当前位置: 首页 网安要闻
名称:  恶意广告程序RottenSys感染近500万台Android设备
索引:  K08260953/2018-03325 发布机构:  吉林省通信管理局办公室
生成日期:  2018-4-3 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  恶意广告程序RottenSys感染近500万台Android设备
恶意广告程序RottenSys感染近500万台Android设备
发布时间:2018-4-3 0:00:00  

  外媒消息,安全公司CheckPoint本周披露了一个名为RottenSys的恶意软件家族——通过伪装成系统Wi-Fi服务,增加广告收入。根据调查,自2016年起,该移动广告软件已感染了近500万台Android设备,其中受影响较大的包括荣耀、华为以及小米。
  CheckPoint称最近小米红米手机上的一个不寻常、自称为系统Wi-Fi服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的Wi-Fi相关服务,反而会要求许多敏感的Android权限,例如与Wi-Fi服务无关的易访问性服务权限、用户日历读取权限等等。
  根据CheckPoint的调查,恶意团伙利用RottenSys谋取暴利,每10天的收入能达到115,000美元。目前,感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo等。并且需要注意的是,由于RottenSys的功能比较广泛,攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。
  RottenSys恶意软件部分细节:
  恶意软件实施两种逃避技术:第一种技术包括在设定时间内延迟操作;第二种技术使用不显示任何恶意活动的dropper。一旦设备处于活动状态且安装了dropper,与之联系的命令和控制(C&C)服务器将会向其发送活动所需的其他组件列表。
  恶意代码依赖于两个开源项目:
  1、RottenSys使用一个名为Small的开源Android框架(github.com/wequick/small)为其组件创建虚拟化容器。通过这种方法,恶意软件就可以运行并行任务,从而攻破Android操作系统的限制。
  2、为了避免Android系统关闭其操作,RottenSys使用了另一个名为MarsDaemon的开源框架(github.com/Marswin/MarsDaemon)。
  不过虽然MarsDaemon保持流程活跃,但它也阻碍了设备的性能并且消耗了电池。

  (新闻来源:HackerNews网
  
http://hackernews.cc/archives/21609