（图片源于网络，侵删）

ps： 昨天有粉丝叫我去uc编辑部！？哼，不存在的，今天言归正传给大家介绍点黑客的东西！

今年3月14日，国外安全厂商Checkpoint发布报告，称自2016年来近500万手机设备感染了名为RottenSys的恶意代码，并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备都被感染了！小编带你们看看是怎么回事。

1基本信息

这个恶意样本典型的信息如下：

这个程序包含风险代码，可在后台私自下载恶意插件并静默安装，进行远程控制命令以及对用户手机进行root，从而频繁推送广告并进行应用分发。消耗用户流量资费，影响用户体验。

2

详细信息

通过观察一些安全报告，我们发现该恶意软件家族进行了明显的技术升级，进行了较强的技术对抗。攻击手段主要分两个阶段：

第一阶段只是单纯的私自下载恶意广告插件，推送广告；第二阶段植入了提权功能，可加载提权代码、获取root权限、执行lua脚本，形成僵尸网络，同时还抹去了文件生成时间和进行文件拆分，以防止分析人员进行深入关联。

攻击流程示意图如下：

恶意代码文件结构如下图所示：

获取root方案的地址为www.uuyttrtf.com:880 、注册证邮箱为haitaozhou15@gmail.com、注册时间为2016年7月。

恶意代码上传设备信息获取root方案之后，将不断进行尝试，一旦获取root权限，则继续从该网址获取lua脚本，并且进行执行，生成僵尸网络，以及根据指令进行下一步的恶意行为。

此外，我们进行了深度关联分析，得到其家族部分CC如下：

从中我们可以看到该恶意代码的工作准备从2016年初就开始进行，到2016年9月，整个黑色产业团伙处于尝试阶段，仅进行域名注册、恶意代码植入等前期准备工作，并没有大规模的进行恶意攻击，此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。

3安全解读

我们发现该恶意软件家族整体生存周期较长，从数据上来看，该恶意软件家族累积感染量达到百万级别，受害面较广。

同时该恶意软件家族活跃和对抗周期较长，所谓的“感染500万”台设备并不是在短期完成的，其时间跨度接近两年。

总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据，这说明主要问题出现在手机销售流通环节。

但是大家不必太恐慌，各大手机厂商及安全公司已经综合运营技术、管理、法律等手段加强对渠道的管理，加强移动终端安全，共同保护消费者权益。

ps：昨天反外挂系统还没领的今天还可以领喔~私信回复02