前不久，CheckPoint公司向大眾披露了一款名為“RottenSys”(墮落的系統)的惡意軟件，該軟件會在入侵用戶手機之后，偽裝成“系統Wi-Fi服務”等應用，并通過不定期給用戶推送廣告或指定的APP來獲取利益，這一非法行為輕則導致手機出現卡頓現象，重則甚至侵害到用戶信息安全。

隨后，移動安全聯盟(MSA)成員單位360、安天對此事件進行了追蹤及詳細技術分析。360安全團隊表示，確認“RottenSys”主要是通過“刷機”或APP(再root)的方式，在手機到達用戶手中前，在目標上安裝部分RottenSys應用程序，從而達到感染傳播的效果。

[[223907]]

對此，360安全團隊對“RottenSys”進行技術分析，并出具了《RottenSys事件分析報告》。報告中，360安全專家指出，該軟件的主要偽裝有多種類型，其中以“系統Wi-Fi服務”程序為主。而為了提高自身隱蔽性，靜默安裝權限獲取、推遲操作設置、惡意模塊云端下載等都是該程序精通的隱藏方式。而其主要傳播途徑則是經由一家名為“Tian Pai”的電話分銷平臺進行。據統計，從2018年1月1日至3月15日，安卓手機的感染總量已超18萬。

“RottenSys”惡意軟件 多種偽裝下的暴利工具

據報告顯示，RottenSys惡意軟件的偽裝應用不只有“系統Wi-Fi服務”這一種，還包括“每日黃歷”、“暢米桌面”等其他程序。實際上，這些偽裝應用并非手機系統自帶，而是用戶在未知第三方應用商店下載APP時意外感染。

圖1：“RottenSys”相關的應用程

此外，還有可能是在手機出廠前后、用戶購買前的某一環節，RottenSys“不請自來”。360安全專家稱，“Tian Pai”便是RottenSys乘虛而入的主要平臺。也正因此，廠商被感染量的高低主要取決于該廠商在“Tian Pai”平臺的出貨量，出貨量較高的廠商便成為了“RottenSys”感染的一個重要占比。

而RottenSys感染目標設備的主要途徑分為軟硬件兩種方式。軟件層面，不法分子間接通過APP安裝或ROOT目標設備，讓RottenSys潛伏于用戶手機;硬件層面，不法分子則會直接接觸目標設備，利用刷機的方法直接將目標系統變更，手機系統便會在用戶不知情下藏有RottenSys。

鉆研花式“隱匿術”只為暗度陳倉

據了解，RottenSys團伙活動始于2016年9月，在2017年經歷爆發式增長后進入穩定增長期。相關數據顯示，3月3日至12日僅10天時間，RottenSys惡意軟件便產生了1325萬次廣告，其中超54萬次轉化為廣告點擊，并為該團伙盈利11.5萬美元。從如此高的“轉化率”和“營業額”足以看出，RottenSys惡意軟件隱蔽性和盈利性極高。

圖2：相關控制域名的活躍度

RottenSys惡意軟件之所以具備較高隱蔽性，主要在于其自身有多種“隱匿術”加持。以所謂的系統Wi-Fi服務為例，它實質上為一個“下載器”并與其控制服務器通訊，在接受到不法分子的下載指令后，便會自行實施廣告推廣服務。

首先，“系統Wi-Fi服務”會偽裝成系統服務進程，打著“向用戶提供任何Wi-Fi相關服務”的旗號招搖過市。由于很多用戶對這一偽裝并不了解，大多數會誤認為該程序不存在威脅，就不會進行刪除或卸載的操作。另外，“系統Wi-Fi服務”還擁有巨大的敏感權限列表，如靜默安裝下載等，這也便更利于其暗中行事。一旦該程序入侵用戶手機，就會有一大波廣告來襲。

圖3：“系統Wi-Fi服務”暗藏于用戶系統中

為避免用戶短時間內察覺出異常，“系統Wi-Fi服務”還有推遲操作的“應對策略”，用戶中招后較長時間內它才會嘗試接收、推送彈窗廣告。而為了將惡意推廣變得更加靈活，“系統Wi-Fi服務”的惡意模塊則通過云端下載，并且使用開源的輕量級插件框架Small，在保證惡意模塊隱秘加載的同時，促使模塊之間代碼不相互依賴。當然了，用戶想要借助簡單的關機和重啟操作，也是清除不掉該惡意軟件的，究其原因主要在于“系統Wi-Fi服務”使用了開源框架、廣播等手段來確保自身長期存活。

在此，360安全專家再次提醒廣大用戶，購買手機或是下載安裝APP，最好通過官方、正規渠道，第三方銷售平臺或應用商店都存有一定的安全隱患。此外，在使用手機的過程中，還可借助360手機衛士等安全管理軟件，對應用程序及安裝包進行安全掃描，以防惡意軟件暗藏其中，一經發現，可使用360手機衛士盡早查殺，避免其給用戶帶來更為慘重的后果。

在大安全時代，用戶所面臨的移動威脅遠不止此，詐騙電話、欺詐短信、釣魚鏈接、木馬病毒、勒索軟件等，也是威脅用戶移動安全的主要因素。因此，用戶的移動安全更需要全方位守護，360手機衛士便獨家創立“8+1”防護體系，為用戶實時攔截釣魚網站、攔截木馬病毒、攔截詐騙電話、攔截詐騙短信、檢測支付環境、保護交易短信、檢測Wi-Fi安全、識別盜版軟件。