如需SDK下载请提供以下信息并使用公司邮箱发送邮件到msa@caict.ac.cn: 1、已注册请注明账号 2、未注册请发送: 完整公司名称、真实姓名、联系方式、APP名称、加盖公章的营业执照(事业单位法人证书)复印件或扫描件 3、咨询问题可发送邮件至msa@caict.ac.cn,注明公司、联系人、问题详情。 |
关于“RottenSys”恶意软件的分析与通报发表时间:2018-03-21 14:00 近期,国外安全公司Checkpoint发布报告,称自2016年来有近500万手机设备感染了名为“RottenSys”的恶意代码,并且指出中国多款主流安卓手机均被感染。随后国内科技媒体进行也了广泛的翻译和转载。MSA成员单位安天、360均对此事件进行了技术分析。
目前有如下4种和“RottenSys”相关的应用程序存在: 图1 “RottenSys”相关应用程序列表(注:由360提供) 恶意行为描述:该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。 经研究人员分析,在应用市场渠道并没有发现有着该恶意代码样本的投放情况。同时,在工信部进网与备案应用数据库中也未发现该恶意代码。据此,可以认为,该恶意代码的主要感染途径来自于流通环节,而不是来自手机出厂和使用的生命周期之中。 而流通环节一种是硬件层面的目标安卓设备刷机行为,黑产者通过物理接触直接变更目标系统。另一种是软件方式的安装APP并进一步root 目标设备来进行“RottenSys”感染。研究机构分析“RottenSys”主要是通过一家名为“Tian Pai”的电话分销平台来进行传播的,攻击者在该环节上通过“刷机”或安装APP(再root)的方式,在手机到达用户手中前,在目标上安装部分“RottenSys”家族应用程序,从而达到感染传播的效果。 通过市场监测数据库表明,该恶意代码有着精心的安排和明显的时间周期,总体感染量确已超过百万。该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并于2017年7月进入高速增长期,直至2017年9月增长速度放缓,进入平稳增长期。360 安全团队对“RottenSys”进行进一步的分析跟进后,统计了2018年1月1日到 2018年3月15日的感染量,总计185,317。 “RottenSys”恶意代码家族进行了明显的技术升级,有较强的技术对抗能力。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。 图2 攻击流程示意图(注:由安天提供) 第一阶段该恶意代码在感染了国内众多安卓手机后,会伪装成名为“系统WIFI服务”的应用,冒充系统服务进程,实际上该应用不会向用户提供任何Wi-Fi相关服务,它是一个“下载器”并与其控制(C&C)服务器通讯,接受下载指令实施推广服务。但由于大多数普通用户很难对这样的伪装做出正确判断,因此恶意软件的存活也就变得显而易见。 该恶意代码具有巨大的敏感权限列表,其中就包括像静默下载这样的权限,从而使得用户很难察觉到恶意软件的更新、推广。除此以外,该恶意代码还使用开源框架MarsDaemon、广播等手段保证自身服务长期存活,即使用户在设备关机重启之后,恶意代码也会很容易的启动起来。该恶意代码还会采取推迟操作的方式,避免让用户立刻感知到。当用户中招后会在较长一段时间后再尝试接收、推送弹窗广告。同时,恶意模块是通过云端下载,并且使用开源的轻量级插件框架Small,它能隐秘的进行恶意模块加载,并且模块之间代码不相互依赖,这使得恶意推广变得更加灵活。 在包含第一阶段相同的恶意行为的基础上,第二阶段的演化主要在于增加了root模块。获取root方案的地址为www.uuyttrtf.com:880。恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。 针对Checkpoint发布的报告,经分析,我们看到虽然此次事件确实造成了较大的影响,但是首先该恶意代码流通渠道有限,主要是依靠刷机或非法预装流通,只要用户在官方渠道购买手机,就基本可避免感染该恶意代码,并且国内主流手机厂商均具备对该恶意软件的检测和防护能力,用户只要及时更新病毒库,此类恶意软件均可得到有效查杀。其次,该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年,此次事件并不是一次突然爆发的大规模事件。最后,我们也希望国内外相关安全机构能够更加公正、客观、严谨地描述我国移动产业的安全状况,切勿夸大事实,造成消费者恐慌。 通过本次事件,我们可以发现其关键就是渠道中的刷机和非法预装,此问题是智能手机行业面临的较大挑战,这种行为严重损害了厂商、用户的利益,构成不正当竞争。移动安全联盟(MSA)2018年的一项重要课题便是《移动终端防刷机、防篡改等技术方案研究》,通过技术方案研究,学习借鉴小米等先行企业优秀成果,降低设备刷机率。后续联盟将推出应急响应机制,打通产业链,做好应急响应工作。联盟将秉承成立之初的承诺,联合各大手机厂商及安全公司,加强对渠道的管理,提升移动终端安全能力,共同保护消费者权益。 |