(图片源于 络,侵删)
今年3月14日,国外安全厂商Checkpoint发布 告,称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备都被感染了!小编带你们看看是怎么回事。
1
基本信息
这个恶意样本典型的信息如下:
这个程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。
2
详细信息
通过观察一些安全 告,我们发现该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:
第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸 络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。
攻击流程示意图如下:
恶意代码文件结构如下图所示:
获取root方案的地址为www.uuyttrtf.com:880 、注册证邮箱为haitaozhou15@gmail.com、注册时间为2016年7月。
恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该 址获取lua脚本,并且进行执行,生成僵尸 络,以及根据指令进行下一步的恶意行为。
此外,我们进行了深度关联分析,得到其家族部分CC如下:
从中我们可以看到该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。
3
安全解读
我们发现该恶意软件家族整体生存周期较长,从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。
同时该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年。
总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据,这说明主要问题出现在手机销售流通环节。
但是大家不必太恐慌,各大手机厂商及安全公司已经综合运营技术、管理、法律等手段加强对渠道的管理,加强移动终端安全,共同保护消费者权益。
ps:昨天反外挂系统还没领的今天还可以领喔~私信回复02
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!