RottenSys恶意广告软件分析，新的僵尸网络正在形成

admin

0
文章

0
评论

2024-01-11 16:23:57 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

主要发现

· RottenSys是一款手机广告恶意软件，自2016年开始已经累计感染接近500万设备。

· 一些消息显示该恶意软件可以很快地进入供应链中。

· 攻击者已经通过同样的C&C服务器测试了新的僵尸网络。

恶意软件运作流程

Check Point手机安全团队发现一款感染了将近500万用户进行欺骗广告的恶意软件家族——RottenSys，该恶意软件最早的时候伪装成系统WIFI服务。

最近，红米手机中出现一款自称是系统WiFi服务的应用，研究人员发现该应用不向用户提供任何的安全WiFi相关的服务。该应用会请求一些敏感的安卓权限，包括accessibility service权限，用户日历读取权限，静默下载权限，这些都是与WiFi服务无关的。

图1：RottenSys请求的权限列表

RottenSys的恶意操作

RottenSys使用了两种避免检测的技术。首先是设定延迟操作的时间，避免将恶意应用和恶意活动建立连接。第二个是含有dropper组件，该组件是不进行任何恶意活动的。当设备启动时，dropper就会安装，并与C&C服务器连接，C&C会发送该部件活动需要的其他部件。这些组件会在dropper接收到下载列表后从C&C服务器下载，组件中含有真实的恶意代码。

RottenSys用DOWNLOAD_WITHOUT_NOTIFICATION权限在不需要用户交互的情况下静默地下载这些恶意组件。通常，恶意软件会下载3个额外的组件。当必要的组件都下载完成后，RottenSys会用使用开源的安卓应用虚拟化框架‘Small’（github.com/wequick/small）。该框架允许所有的组件同时运行，在设备的主屏上展示广告，比如弹窗和全屏广告。RottenSys使用的是广电通和百度广告平台进行广告欺骗行为。

图2：small 框架融合功能的代码

为了避免被安卓系统发现并停止这些行为，RottenSys使用了另一个开源框架MarsDaemon (github.com/Marswin/MarsDaemon)。MarsDaemon会保持进程活动，也会影响设备的性能和电量使用。小米论坛中出现了关于该应用的讨论。

图3：小米论坛中关于应用广告的帖子

图4：有用户说Rottensys变种的活动使设备性能降低了

有许多的用户都表达了同样的抱怨。最早的可以追溯到2017年10月。

改进的行为

研究发现，RottenSys有许多的payload变种。每个变种适用于不同的行动、设备类型、广告平台和传播渠道。

在上面的恶意软件传播渠道中，天湃浅装和天湃桌面可能与一家杭州的手机供应分销商——杭州天湃网络科技有限公司有关。通过天湃感染的设备占了所有感染设备总数的49.2%，工商总局的注册信息显示，天湃科技的主营业务是网络技术、计算机软硬件的技术开发、技术服务、技术咨询、成果转让；计算机系统集成。其官网信息显示杭州天湃网络科技有限公司，是一家电子商务贸易有限公司。公司主营业务涵盖了手机批发、手机实体零售、手机网络销售、手机售后维修、手机软件下载及系统的更新，是一家集售前与售后为一体的手机销售服务公司。公司与三星、HTC、苹果、小米、中兴、酷派、联想、华为等国内外知名手机厂商建立了扎实合作基础，同时与浙江移动公司达成了良好的战略合作协议。

目前该网站已无法正常访问，显示正在改版中。

捕获.PNG