恶意广告程序RottenSys感染近500万台Android设备

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      外媒 3 月 14 日消息,安全公司 Check Point 本周披露了一个名为 RottenSys 的恶意软件家族 —— 通过伪装成系统 Wi-Fi 服务,增加广告收入。根据调查,自 2016 年起,该移动广告软件已感染了近 500 万台 Android 设备,其中受影响较大的包括荣耀、华为以及小米。

      Check Point 称最近小米红米手机上的一个不寻常、自称为系统 Wi-Fi 服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的 Wi-Fi 相关服务,反而会要求许多敏感的 Android 权限,例如与 Wi-Fi 服务无关的易访问性服务权限、用户日历读取权限等等。

      根据 Check Point 的调查,恶意团伙利用 RottenSys 谋取暴利,每 10 天的收入能达到 115,000 美元。目前,感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo 等。并且需要注意的是,由于 RottenSys 的功能比较广泛,攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。

RottenSys 恶意软件部分细节:

恶意软件实施两种逃避技术:第一种技术包括在设定时间内延迟操作;第二种技术使用不显示任何恶意活动的 dropper。一旦设备处于活动状态且安装了 dropper,与之联系的命令和控制(C&C)服务器将会向其发送活动所需的其他组件列表。

恶意代码依赖于两个开源项目:

1、RottenSys 使用一个名为 Small 的开源 Android 框架(github.com/wequick/small)为其组件创建虚拟化容器。通过这种方法,恶意软件就可以运行并行任务,从而攻破 Android 操作系统的限制。

2、为了避免 Android 系统关闭其操作,RottenSys 使用了另一个名为 MarsDaemon 的开源框架(github.com/Marswin/MarsDaemon)。

不过虽然 MarsDaemon 保持流程活跃,但它也阻碍了设备的性能并且消耗了电池。

消息来源:Security Affairs

转自 HackerNews.cc

标签: 安全 代码 服务器 排名 权限 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:研究人员发现新的分支预测攻击

下一篇:Check Point推出全新安全模型Infinity Total Protection