近期,媒體曝光Android手機正遭受某個惡意團伙制造的手機惡意廣告推送,國內(nèi)主流手機品牌均受到影響。自去年10月底開始,有安卓手機用戶反映手機突然變慢,并且總是接收“系統(tǒng)WiFi服務”崩潰的提示。對相關程序的數(shù)字簽名證書進行查看后發(fā)現(xiàn),“系統(tǒng)WiFi服務”既不屬于任何已知的Android移動生態(tài)圈證書,也不具備任何系統(tǒng)WiFi相關功能。
此次Android設備受到的大范圍攻擊,其背后是惡意團伙制造的惡意軟件——RottenSys(墮落的系統(tǒng))從中作祟,偽裝成系統(tǒng)服務應用進行傳播。目前,騰訊手機管家依托自研殺毒引擎TAV,對假冒系統(tǒng)服務的“系統(tǒng)WiFi服務”、“系統(tǒng)桌面”病毒軟件實現(xiàn)了精準查殺。
(圖:Android手機遭遇RottenSys攻擊,騰訊手機管家實現(xiàn)查殺)
事實上,RottenSys偽裝的系統(tǒng)應用并不是手機系統(tǒng)自帶的,一些Android系統(tǒng)使用者通過未知第三方應用商店下載App,增加了意外感染惡意程序的可能性;另一方面惡意程序可能安裝于手機出廠后、用戶購買前的某個環(huán)節(jié)。調(diào)查發(fā)現(xiàn),超過一半受病毒感染的手機都是通過杭州一家網(wǎng)絡科技公司購買,很可能曾被經(jīng)銷商偷偷安裝一些已被RottenSys感染的惡意程序。
據(jù)了解,RottenSys 團伙活動始于 2016 年 9 月,團伙活動在 2017 年 7 月經(jīng)歷爆發(fā)式增長后進入穩(wěn)定增長期。相關數(shù)據(jù)顯示,截止今年3月12日,被感染安卓手機總數(shù)高達494萬4千余部。3月3日至12日僅10天的時間,RottenSys 團伙向受害手機用戶強行推送了1325萬余次廣告展示,誘導獲得54萬余次廣告點擊,保守估計不正當廣告收入約為72萬人民幣。
騰訊手機管家安全專家楊啟波指出,RottenSys之所以導致如此嚴重的后果,也與其隱蔽性有著極大的關系,主要表現(xiàn)為:RottenSys初始病毒激活后,從黑客服務器靜默下載并加載3個惡意模塊,等待1至3天后才開始嘗試接收、推送全屏或彈窗廣告;同時使用惡意模塊加載,實現(xiàn)長期系統(tǒng)駐留、避免安卓關閉其后臺程序的作案前提。
大多數(shù)情況下,RottenSys 初始惡意軟件安裝在手機的普通存儲區(qū)域(而非系統(tǒng)保護區(qū)域),受影響用戶可以自行卸載。騰訊手機管家安全專家楊啟波提醒,如果用戶懷疑自己可能是 RottenSys 受害者,可以嘗試在安卓系統(tǒng)設置的 App 管理中尋找并卸載可疑軟件;同時借助騰訊手機管家進行防護,對應用程序進行安全掃描及時識別風險,掃描“系統(tǒng)WiFi服務”、“系統(tǒng)桌面”等惡意軟件并安全處理,避免更嚴重的后果。
