说明
如需SDK下载请提供以下信息并使用公司邮箱发送邮件到msa@caict.ac.cn
1、已注册请注明账号
2、未注册请发送:
完整公司名称、真实姓名、联系方式、APP名称、加盖公章的营业执照(事业单位法人证书)复印件或扫描件
3、咨询问题可发送邮件至msa@caict.ac.cn,注明公司、联系人、问题详情。
新闻详情

关于“RottenSys”恶意软件的分析与通报

发表时间:2018-03-21 14:00

近期,国外安全公司Checkpoint发布报告,称自2016年来有近500万手机设备感染了名为RottenSys的恶意代码,并且指出中国多款主流安卓手机均被感染。随后国内科技媒体进行也了广泛的翻译和转载。MSA成员单位安天、360均对此事件进行了技术分析。

  • 样本信息
  • 目前有如下4种和“RottenSys”相关的应用程序存在:

    1RottenSys”相关应用程序列表(注:由360提供)

    恶意行为描述:该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。

  • 感染渠道
  • 研究人员分析,在应用市场渠道并没有发现有着该恶意代码样本的投放情况。同时工信部进网与备案应用数据库中未发现该恶意代码据此,可以认为,该恶意代码的主要感染途径来自于流通环节而不是来自手机出厂使用的生命周期之中

    而流通环节一种是硬件层面的目标安卓设备刷机行为,黑产者通过物理接触直接变更目标系统。另一种是软件方式的安装APP进一步root 目标设备来进行“RottenSys”感染。研究机构分析“RottenSys”主要是通过一家名为“Tian Pai”的电话分销平台来进行传播的,攻击者在该环节上通过“刷机”或安装APP(再root)的方式,在手机到达用户手中前,在目标上安装部分RottenSys”家族应用程序,从而达到感染传播的效果。

  • 时间周期
  • 通过市场监测数据库表明,该恶意代码有着精心的安排和明显的时间周期,总体感染量确已超过百万。该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并于2017年7月进入高速增长期,直至2017年9月增长速度放缓,进入平稳增长期360 安全团队对“RottenSys”进行进一步的分析跟进后,统计了201811日到 2018年315感染量,总计185,317

  • 工作原理
  • “RottenSys”恶意代码家族进行了明显的技术升级,有较强的技术对抗能力。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。


    2 攻击流程示意图(注:安天提供)

    第一阶段恶意代码在感染了国内众多安卓手机后,会伪装成名为“系统WIFI服务”应用冒充系统服务进程实际上该应用不会向用户提供任何Wi-Fi相关服务,它是一个“下载器”并与其控制(C&C)服务器通讯,接受下载指令实施推广服务。由于大多数普通用户很难对这样的伪装做出正确判断,因此恶意软件的存活也就变得显而易见。

    恶意代码具有巨大的敏感权限列表,其中包括像静默下载这样的权限,从而使得用户很难察觉到恶意软件的更新、推广。此以,该恶意代码使用开源框架MarsDaemon、广播等手段保证自身服务长期存活,即使用户在设备关机重启之后,恶意代码也会很容易的启动起来。恶意代码还会采取推迟操作方式,避免让用户立刻感知到。当用户中招后在较长一段时间后再尝试接收、推送弹窗广告同时恶意模块通过云端下载,并且使用开源的轻量级插件框架Small,它能隐秘的进行恶意模块加载,并且模块之间代码不相互依赖,这使得恶意推广变得更加灵活。

    在包含第一阶段相同的恶意行为的基础上,第二阶段的演化主要在于增加了root模块获取root方案的地址为www.uuyttrtf.com:880。恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。

  • 结束语
  • 针对Checkpoint发布报告经分析我们看到虽然此次事件确实造成了较大的影响,但是首先恶意代码流通渠道有限,主要是依靠刷机或非法预装流通,只要用户在官方渠道购买手机,就基本可避免感染恶意代码,并国内主流手机厂商均具备对该恶意软件的检测和防护能力用户只要及时更新病毒库,此类恶意软件均可得到有效查杀其次,该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年此次事件并不是一次突然爆发的大规模事件最后我们也希望国内外相关安全机构能够更加公正、客观、严谨地描述我国移动产业的安全状况,切勿夸大事实,造成消费者恐慌。

    通过本次事件我们可以发现关键就是渠道中的刷机和非法预装,此问题是智能手机行业面临的较大挑战,这种行为严重损害了厂商、用户的利益,构成不正当竞争移动安全联盟(MSA)2018年的一项重要课题便是《移动终端防刷机、防篡改等技术方案研究,通过技术方案研究,学习借鉴小米先行企业优秀成果,降低设备刷机率后续联盟将推出应急响应机制,打通产业链,做好应急响应工作。联盟将秉承成立之初的承诺,联合各大手机厂商及安全公司加强对渠道的管理,提升移动终端安全能力,共同保护消费者权益。



分享到:
北京市海淀区花园北路52号
msa@caict.ac.cn
010-62300419
用户中心维护中,如需SDK下载请提供以下信息,使用公司邮箱发送邮件到msa@caict.ac.cn:
1、已注册请注明账号
2、未注册请发送完整公司名称、真实姓名、联系方式、APP名称、加盖公章的营业执照(事业单位法人证书)复印件或扫描件