手机流量经常没?可能是感染了这个恶意软件……

(图片源于网络,侵删)

ps: 昨天有粉丝叫我去uc编辑部!?哼,不存在的,今天言归正传给大家介绍点黑客的东西!

今年3月14日,国外安全厂商Checkpoint发布报告,称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备都被感染了!小编带你们看看是怎么回事。

1基本信息

这个恶意样本典型的信息如下:

这个程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。

2

详细信息

通过观察一些安全报告,我们发现该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:

第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。

攻击流程示意图如下:

恶意代码文件结构如下图所示:

获取root方案的地址为www.uuyttrtf.com:880 、注册证邮箱为haitaozhou15@gmail.com、注册时间为2016年7月。

恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。

此外,我们进行了深度关联分析,得到其家族部分CC如下:

从中我们可以看到该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。

3安全解读

我们发现该恶意软件家族整体生存周期较长,从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。

同时该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年。

总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据,这说明主要问题出现在手机销售流通环节。

但是大家不必太恐慌,各大手机厂商及安全公司已经综合运营技术、管理、法律等手段加强对渠道的管理,加强移动终端安全,共同保护消费者权益。

ps:昨天反外挂系统还没领的今天还可以领喔~私信回复02

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();