揭秘“RottenSys” 恶意软件花式“隐匿术”

　　恶意软件以“系统Wi-Fi服务”暗藏在用户系统中。资料图

　　法治周末记者 马树娟

　　如果你的安卓手机经常莫名其妙地收到一些广告或者App，那就要提高警惕了，很可能你的手机被感染了“RottenSys”(堕落的系统)的恶意软件。

　　近日，国外安全公司CheckPoint披露，中国多款主流安卓手机感染了一款名为“RottenSys”的恶意软件，该软件会在入侵用户手机后，伪装成“系统Wi-Fi服务”等应用，不定期给用户推送广告或指定的App，这一非法行为轻则导致手机出现卡顿现象，重则侵害到用户的信息安全。

　　随后，移动安全联盟(MSA)成员单位360、安天公司对此事件进行了追踪及详细技术分析，并出具了《RottenSys事件分析报告》。报告中，360安全专家指出，该软件的主要伪装有多种类型，如“每日黄历”“畅米桌面”等，其中以“系统Wi-Fi服务”程序为主。

　　报告披露，“RottenSys”的主要经由一家名为“Tian Pai”的电话分销平台进行传播。据统计，从2018年1月1日至3月15日，安卓手机的感染总量已超18万部。

　　报告显示，这些伪装应用并非手机系统自带，主要是用户在未知的第三方应用商店下载App时意外感染，有的则是在手机出厂前后、用户购买前的某一个环节被植入，让用户防不胜防。360安全专家称，“Tian Pai”便是“RottenSys”乘虚而入的主要平台，如果厂商在“Tian Pai”平台的出货量大则感染的概率较高。

　　据了解，“RottenSys”团伙活动始于2016年9月，在2017年经历爆发式增长后进入稳定增长期。相关数据显示，3月3日至12日仅10天时间，“RottenSys”恶意软件便产生了1325万次广告，其中超54万次转化为广告点击，保守估计，该团队从中获取的不正当广告收入达11.5万美元。

　　而“RottenSys”之所以不容易被用户发现，还在于其自身具备多种“隐匿术”，以其伪装成“系统Wi-Fi服务”为例，很多用户会误认为该程序不存在威胁，就不会对其进行删除或卸载；此外，“系统Wi-Fi服务”还拥有敏感权限列表，比如静默安装下载，这也更便利于其暗中行事；一旦该程序入侵用户手机，还会在其“推迟操作”的策略下，在用户手机中招后1至3天后才推送全屏或弹窗广告……

　　然而，用户想要彻底清除该恶意软件，借助常规的关机和重启操作却无济于事，360安全专家介绍，这主要在于“系统Wi-Fi服务”使用了开源框架、广播等手段来确保自身长期存活。

　　360安全专家提醒用户，第三方销售平台或应用商店都存有一定的安全隐患，最好通过官方、正规渠道购买手机或是下载安装App。此外，在使用手机的过程中，还可借助360手机卫士等安全管理软件，对应用程序及安装包进行安全扫描，以防恶意软件暗藏其中，一经发现，可尽早查杀，避免其带来更为惨重的后果。

　　责任编辑：王硕