智能OPPO手機價格聯盟

近500萬部安卓手機感染惡意廣告病毒,小米華為OPPO等中招

科技富能量2020-11-19 14:14:06

用戶在哪里,油水就在哪里。對于這條“金科玉律”,黑產從業者有著透徹的領悟。


回想一下,你以前在使用電腦時所遇到的那些問題,現在是不是逐步轉移到了手機上?


比如,手機有時會卡,運行變慢;總是有煩人的廣告彈窗出現;某些程序正在偷偷的竊取你的隱私信息……


最近,安全公司 Check Point 發現了中國多款主流安卓手機,正遭受同一個團伙制造的手機惡意廣告推送,中招的有榮耀、華為、小米、OPPO、vivo等。



這些惡意程序到底是如何潛入手機的?中招后手機會出現哪些癥狀?如何見招拆招?且聽雷鋒網為你慢慢分析。


披著羊皮的狼---RottenSys


由于本次事件始于一個偽裝成安卓系統服務的惡意軟件,Check Point 的安全團隊將此命名為 RottenSys(墮落的系統)。


說到這款惡意軟件被發現的過程,也是很曲折了。


雷鋒網發現,最先開始,安全研究人員發現有不少用戶吐槽手機運行速度大幅變慢,并且總是接收到“系統 WIFI 服務”崩潰的提示,按理來說,一家這樣不奇怪,但如果多款手機都出現這樣的問題,就有點蹊蹺了。


以小米為例,自去年 10 月底開始,就有不少用戶在論壇里指出這個問題,但當時幾乎所有人都將問題歸咎于系統。可以說,RottenSys 假扮系統軟件的策略相當成功。


但是,當研究人員對相關程序的數字簽名證書進行查看后,發現它不屬于任何已知小米移動生態圈證書,與此同時,它也不具備任何系統 Wi-Fi 相關的功能。

既然不是系統自帶的,那惡意程序又是如何潛入用戶的手機中的?


Check Point 的研究人員在對“系統 WIFI 服務”安裝信息仔細觀測及大量額外數據分析后,懷疑該惡意軟件很可能安裝于手機出廠之后、用戶購買之前的某個環節。


據 Check Point 透露,幾乎一半的受感染手機是通過中國電話分銷商“Tian Pai”購買的,該分銷商的員工可能會趁著手機到達用戶手中前,在設備上安裝一些受RottenSys感染的應用程序。


每天約有 35 萬部手機輪番接到惡意廣告推送


通過對已知數據的深入分析,Check Point認為,RottenSys 團伙作案始于 2016 年 9 月,但它并沒有馬上動手,而是花了時間和精力調整,使其擁有了更大的殺傷力。


安全研究團隊在采訪時坦言,雖然之前也見過不少 Android 惡意軟件,但這么大規模的設備被感染,真不多見,之所以黑客這次能得逞,還得益于這兩個在GitHub的開源項目。


一個是由 Wequick 開發的 Small 開源架構,它能進行隱秘的惡意模塊加載,RottenSys 初始病毒激活后,會從黑客服務器靜默下載并加載 3 個惡意模塊,在1 至 3 天后,就會嘗試接收、推送彈窗廣告。


另外一個,是開源項目 MarsDaemon ,它能幫助惡意程序實現長期在系統上駐留,并避免安卓關閉其后臺程序。即使在用戶關閉它們之后,也無法關閉廣告注入機制,可以說是很流氓了。


“裝備”就位后,該團伙在2017 年 7 月經歷了爆發式增長,據Check Point 統計:


截止2018年 3 月 12 日,累計受感染安卓手機總量高達 496 萬 4 千余部;受感染的手機中,每天約有 35 萬部輪番受到惡意廣告推送的侵害。

受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。

僅 3 月 3 日到 12 日 10 天期間,RottenSys 團伙向受害手機用戶強行推送了 1325 萬余次廣告展示,誘導獲得了 54 萬余次廣告點擊。保守估計不正當廣告收入約為 72 萬人民幣。


花了錢買了手機,到頭來還得遭受廣告騷擾,受分銷商的盤剝,真是心塞。

受影響用戶問題排除方法


全世界的人都在用安卓,為何單單我們國家的安卓機總是躺槍?


按理來說,蘋果和谷歌都是厲害又有錢的公司,ios 和 Android 的安全性不應該差這么多。


一個重要的點是,國內的用戶,如果不架梯子,是不能在官方的“Google play”下載應用的,很多時候就得在手機廠商提供的應用商店進行下載,比如小米的用戶會在小米的商店來下載,華為的用戶是在華為的應用商店……在安全方面,需要各自的廠商進行安全防護。


更何況,大多數用戶并不知道適當的Android安全最佳做法,并且會經常安裝來自第三方商店的應用程序,這就加大了感染惡意程序的機會。


雷鋒網(公眾號:雷鋒網)發現,以這次的 RottenSys 為例,這類惡意軟件內部操作模式唯一的弱點是安裝流程,受RottenSys感染的應用程序往往會要求一個巨大的權限列表,安全意識好,并且細心的用戶可以輕松發現并避免安裝這些應用程序。但是,可惜的是,并非所有的Android用戶都對隱私有意識,大多數日常用戶都傾向于為應用程序提供所需的所有權限。


值得慶幸的是,大多數情況下,RottenSys 初始惡意軟件安裝在手機的普通存儲區域(而非系統保護區域),受影響用戶可以自行卸載。安全研究人員建議,如果你懷疑自己可能是 RottenSys 受害者,可以嘗試在安卓系統設置的 App 管理中尋找以下可能出現的軟件并進行卸載:


北京快乐8中奖规则 绝地求生蓝洞官网地址 (^ω^)MG古怪猴子怎么玩 广西快3基本 杨幂代言的网赚项目 (*^▽^*)MG樱桃之恋在线客服 新疆18选7的开奖号 (*^▽^*)MG特工简.布隆德归来官网 湖北福利彩票22选5 (^ω^)MG纯银3D爆分技巧 一波中特猪在家打一生肖 (^ω^)MG森巴宾果闯关 mg幸运双星赔付 皇家帝一娱乐平台 (★^O^★)MG好事成双如何爆大奖 福建31选7浙江风采 湖北快3开奖结果走势