RottenSys恶意广告软件分析,新的僵尸网络正在形成

ang010ela 新闻 2018年3月19日发布
Favorite收藏

导语:RottenSys,一款手机广告恶意软件,自2016年开始已经累计感染接近500万设备。通过分析C&C服务器,发现一个新的僵尸网络正在形成。

主要发现

· RottenSys是一款手机广告恶意软件,自2016年开始已经累计感染接近500万设备。

· 一些消息显示该恶意软件可以很快地进入供应链中。

· 攻击者已经通过同样的C&C服务器测试了新的僵尸网络。

恶意软件运作流程

Check Point手机安全团队发现一款感染了将近500万用户进行欺骗广告的恶意软件家族——RottenSys,该恶意软件最早的时候伪装成系统WIFI服务。

最近,红米手机中出现一款自称是系统WiFi服务的应用,研究人员发现该应用不向用户提供任何的安全WiFi相关的服务。该应用会请求一些敏感的安卓权限,包括accessibility service权限,用户日历读取权限,静默下载权限,这些都是与WiFi服务无关的。

Fig1-1-533x1024.png

图1:RottenSys请求的权限列表

RottenSys的恶意操作

RottenSys使用了两种避免检测的技术。首先是设定延迟操作的时间,避免将恶意应用和恶意活动建立连接。第二个是含有dropper组件,该组件是不进行任何恶意活动的。当设备启动时,dropper就会安装,并与C&C服务器连接,C&C会发送该部件活动需要的其他部件。这些组件会在dropper接收到下载列表后从C&C服务器下载,组件中含有真实的恶意代码。

RottenSys用DOWNLOAD_WITHOUT_NOTIFICATION权限在不需要用户交互的情况下静默地下载这些恶意组件。通常,恶意软件会下载3个额外的组件。当必要的组件都下载完成后,RottenSys会用使用开源的安卓应用虚拟化框架‘Small’(github.com/wequick/small)。该框架允许所有的组件同时运行,在设备的主屏上展示广告,比如弹窗和全屏广告。RottenSys使用的是广电通和百度广告平台进行广告欺骗行为。

Fig-2.png

Fig-3.png

图2:small 框架融合功能的代码

为了避免被安卓系统发现并停止这些行为,RottenSys使用了另一个开源框架MarsDaemon (github.com/Marswin/MarsDaemon)。MarsDaemon会保持进程活动,也会影响设备的性能和电量使用。小米论坛中出现了关于该应用的讨论。

Fig-4.png

图3:小米论坛中关于应用广告的帖子

Fig-5.png

图4:有用户说Rottensys变种的活动使设备性能降低了

有许多的用户都表达了同样的抱怨。最早的可以追溯到2017年10月。

改进的行为

研究发现,RottenSys有许多的payload变种。每个变种适用于不同的行动、设备类型、广告平台和传播渠道。

t2.PNG

在上面的恶意软件传播渠道中,天湃浅装和天湃桌面可能与一家杭州的手机供应分销商——杭州天湃网络科技有限公司有关。通过天湃感染的设备占了所有感染设备总数的49.2%,工商总局的注册信息显示,天湃科技的主营业务是网络技术、计算机软硬件的技术开发、技术服务、技术咨询、成果转让;计算机系统集成。其官网信息显示杭州天湃网络科技有限公司,是一家电子商务贸易有限公司。公司主营业务涵盖了手机批发、手机实体零售、手机网络销售、手机售后维修、手机软件下载及系统的更新,是一家集售前与售后为一体的手机销售服务公司。公司与三星、HTC、苹果、小米、中兴、酷派、联想、华为等国内外知名手机厂商建立了扎实合作基础,同时与浙江移动公司达成了良好的战略合作协议。

目前该网站已无法正常访问,显示正在改版中。

捕获.PNG

天湃可能并没有直接参与该恶意活动。这是基于恶意软件在用户购买前就进入用户设备中了的假设。

效果和影响

研究人员会进一步收集数据来查看恶意活动的范围影响。

RottenSys应该是从2016年9月就开始运行了,截止2018年3月12日,一共有496万设备被感染,受影响的品牌有荣耀、华为、小米等。

Fig6-1.png

Fig7-1.png

随着感染的设备越来越多,根据不同的变种,出现不同的C&C服务器。研究人员相信,实际的受害者数量远不止此。

金钱交易

RottenSys是一个极具攻击性的广告网络。在过去的10天里,广告的点击量就达到1325万次,研究人员推算出了点击量与背后的收益关系,计算公式是每次点击20美分,每千次观看40美分的收入。经过估算,在过去的10天里,攻击者的收入是11.5万美元。

t3.PNG

探索新领域

研究人员在调查RottenSys时发现攻击者可能不仅向用户展示了广告,可能还会造成更多的伤害。攻击者从2018年2月起在同样的C&C服务器上持续测试新的僵尸网络活动。

攻击者计划利用腾讯的Tinker应用虚拟化框架作为dropper机制。传播的payload可以将受害者的设备变成僵尸网络的一部分。该僵尸网络可以的扩展功能有静默安装额外的应用和UI自动化。

僵尸网络的一部分控制机制是用Lua脚本实现的。在没有干预的情况下,攻击者可以重用现有的恶意软件传播渠道,迅速扩张僵尸网络。

Fig-8.png

图5:僵尸网络的恶意payload jar文件

缓解措施

定位安卓主屏上展示的广告源对大多数用户来说是很难的,所以也就更难缓解。不过,用户可以找到应用名并卸载RottenSys dropper。如果你的手机在主屏上展示一些未知来源的广告,可以进入系统设定,应用管理器,寻找可能的恶意软件名并卸载。

t4.PNG

思考

手机设备还没有到用户手中就被入侵了,但也不是第一次遇到这样的情况了。几周前,网上爆出一些廉价的安卓手机固件中被嵌入了恶意软件。虽然这次受影响的品牌和恶意软件的价值都不同,但问题是真实存在的。我们应该考虑的是从厂商端去确保手机设备的安全性,共同去构建手机设备和系统的安全生态环境。

本文翻译自:https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/如若转载,请注明原文地址: http://www.4hou.com/info/news/10751.html
点赞 7
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论