恶意广告软件RottenSys深度分析报告

一、事故背景

2018年3月14日,国外安然厂商Checkpoint宣布申报,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后海内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安然进行了深入的阐发。

二、样本基础信息

范例样本信息如下:

恶意行径描述:

该法度榜样包孕风险代码,可在后台私自下载恶意插件并静默安装,进行远程节制敕令以及对用户手机进行root,从而频繁推送广告并进行利用分发。耗损用户流量资费,影响用户体验。

三、具体阐发

安天移动安然阐发得出,该恶意软件家族进行了显着的技巧进级,进行了较强的技巧抗衡。进击手段主要分两个阶段:第一阶段只是纯真的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、履行lua脚本,形成僵尸收集,同时还抹去了文件天生光阴和进行文件拆分,以防止阐发职员进行深入关联。

进击流程示意图如下:

恶意代码文件布局如下图所示:

获取root规划的地址为www.uuyttrtf.com:880 ,注册证邮箱为haitaozhou15@gmail.com,注册光阴为2016年7月(这与安天移动安然捕获和查杀该样本的光阴维持同等)。恶意代码上传设备信息获取root规划之后,将赓续进行考试测验,一旦获取root权限,则继承从该网址获取lua脚本,并且进行履行,天生僵尸收集,以及根据指令进行下一步的恶意行径。此外,我们进行了深度关联阐发,获得其家族部分CC如下:

从中我们可以看到该恶意代码的事情筹备从2016年头?年月就开始进行,到2016年9月,全部玄色财产团伙处于考试测验阶段,仅进行域名注册、恶意代码植入等前期筹备事情,并没有大年夜规模的进行恶意进击,此后开始慢慢感染并形成了两次感染高峰。详细事故光阴轴如下图所示。

四、安天解读

该恶意软件家族整体生计周期较长,自2016年1月,其背后的黑产团伙便开始注册域名并筹备响应的进击活动。从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。不过,以安天移动安然为代表的安然厂商在病毒呈现初期就已具备检测能力,并且安天移动安然已与海内主流手机厂商在移动终端病毒检测与防护方面进行相助,海内主流手机厂商均具备对该恶意软件的检测和防护能力。

同时该恶意软件家族生动和抗衡周期较长,所谓的“感染500万”台设备并不是在短期完成的,当光阴跨度靠近两年,经由过程安天移动安然的终端监控环境来看,总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和利用市场渠道中并未发明大年夜规模感染数据,这阐明主要问题呈现在手机贩卖流畅环节。

渠道中的刷机和不法预装是智妙手机行业面临的较大年夜寻衅,各大年夜手机厂商及安然公司综合运营技巧、治理、司法等手段加强对渠道的治理,并且在2017年,泰尔实验室、OEM厂商、安然厂商等联合成立移动安然同盟(MSA),以联合各方气力,加强移动终端安然,合营保护破费者职权。

着末,我们在此盼望海皮毛关安然机构能够加倍公正、客不雅、严谨地描述中国移动财产的安然状况,切勿夸大年夜事实,造成破费者惊恐。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包