恶意软件伪装“系统Wi-Fi服务”感染近五百万台安卓手机

2018-03-21   

近日，安全研究人员发现一个大规模持续增长的恶意软件活动，已经感染了全球近500万台移动设备。

近日，安全研究人员发现一个大规模持续增长的恶意软件活动，已经感染了全球近500万台移动设备。

这款名为“Rottensys”的恶意软件伪装成“系统Wi-Fi服务”，在供应环节上预装在数百万台全新的智能手机中，它们都是通过位于杭州的手机经销商发货的，受影响的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金力等。

据发现此次活动的Check Point移动安全团队报告显示，RottenSys是一款先进的恶意软件，它不提供任何安全的Wi-F相关服务，但几乎需要所有敏感的安卓权限才能启用其恶意活动。

“根据我们的调查结果，RottenSys恶意软件于2016年9月开始传播。到2018年3月12日，RothenSys感染了4,964,460台设备”。

为了逃避检测，假的系统Wi-Fi服务应用程序最初没有恶意组件，并且不会立即启动任何恶意活动。RottenSys通过命令控制服务器获取包含实际恶意代码所需组件的列表，然后使用“下载不提示”权限安装列表中每一个组件。

此时，大规模的恶意软件活动会将广告组件推送到所有受感染的设备上，会在手机上大量播放广告以产生欺诈性广告收入。

“RottenSys是一个极具侵略性的广告网络，仅在过去10天内，它就出现了13,250,756次广告，其中548,822次转化为广告点击。”研究人员说。

据CheckPoint的研究人员称，仅在过去10天内，该恶意软件的作者获利就超过了115,000美元，但是攻击者所做的损害远远大于展示“不请自来的广告”。

由于RottenSys被设计成可以从C&C服务器下载并安装任何新组件，因此攻击者可以轻松的控制数百万台受感染设备。

研究人员透露了一下证据，证明RottenSys攻击者已经开始将数百万台被感染的设备变成一个大规模的僵尸网络。

已经发现一些被感染的设备安装了一个新的组件，它为攻击者提供了更广泛的功能，包括静默安装额外的app和UI自动化。

这不是CheckPoint研究人员第一次发现顶级品牌受供应环节影响。去年，该公司发现属于三星、LG、小米、华硕、Nexus、Oppo和联想的智能手机感染了两个预装恶意软件（Loki木马和SLocker勒索软件），旨在窥探用户。

如何检测和删除Android恶意软件？

要检查您的设备是否感染了此恶意软件，在系统设置→应用管理，然后查找以下可能的恶意软件包名称：

com.android.yellowcalendarz（每日黄历）

com.changmi.launcher（畅销桌面）

com.android.services.securewifi（系统WIFI服务）

com.system.service.zdsgt

如果上述任何内容位于已安装应用程序的列表中，只需将其卸载即可。