RottenSys: 真假 Wi-Fi系統(tǒng)服務(wù)

　　受感染手機(jī)用戶(hù)會(huì)感受到手機(jī)運(yùn)行速度大幅變慢，并伴以可疑“系統(tǒng) WIFI 服務(wù)”頻繁崩潰。

　　以小米用戶(hù)論壇信息為例，我們發(fā)現(xiàn)從 17 年 10 月底開(kāi)始出現(xiàn)了多個(gè)類(lèi)似用戶(hù)報(bào)告。然而幾乎所有用戶(hù)將問(wèn)題歸咎于系統(tǒng)。由此可見(jiàn) RottenSys 假扮系統(tǒng)軟件的策略相當(dāng)成功。

　　RottenSys 初始病毒激活后，從黑客服務(wù)器靜默下載并加載 3 個(gè)惡意模塊。等待 1 至 3 天后，開(kāi)始嘗試接收、推送全屏或彈窗廣告。病毒使用了由 Wequick 開(kāi)發(fā)的 Small 開(kāi)源架構(gòu)進(jìn)行隱秘的惡意模塊加載，并使用另一個(gè)開(kāi)源項(xiàng)目 MarsDaemon 來(lái)完成長(zhǎng)期系統(tǒng)駐留、 避免安卓關(guān)閉其后臺(tái)程序。

　　RottenSys 初始病毒的數(shù)字簽名證書(shū)不屬于任何已知小米移動(dòng)生態(tài)圈證書(shū)，并且它不具備任何系統(tǒng) Wi-Fi 相關(guān)的功能。用排除法，在對(duì)“系統(tǒng) WIFI 服務(wù)”安裝信息仔細(xì)觀測(cè)及大量額外數(shù)據(jù)分析后，我們認(rèn)為該惡意軟件很可能安裝于手機(jī)出廠之后、用戶(hù)購(gòu)買(mǎi)之前的某個(gè)環(huán)節(jié)。據(jù)進(jìn)一步推算，大約 49.2%的已知 RottenSys 感染于此類(lèi)方式。

　　值得慶幸的是，大多數(shù)情況下，RottenSys 初始惡意軟件安裝在手機(jī)的普通存儲(chǔ)區(qū)域（而非系統(tǒng)保護(hù)區(qū)域）。受影響用戶(hù)可以自行卸載。如果您懷疑自己可能是 RottenSys 受害者，您可以嘗試在安卓系統(tǒng)設(shè)置的 App 管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載：

　　這已經(jīng)不是第一次手機(jī)信息安全圈發(fā)現(xiàn)手機(jī)在到達(dá)最終用戶(hù)手上之前就被安插了惡意軟件。 Dr. Web 等友商陸陸續(xù)續(xù)披露過(guò)類(lèi)似的事件。不同的團(tuán)伙，不同的惡意軟件，相同的線下傳播手法。寫(xiě)在消費(fèi)者權(quán)益日之時(shí)，我們不禁想問(wèn)，除了保證普通用戶(hù)購(gòu)買(mǎi)到硬件質(zhì)量合格的手機(jī)以外，我們是否忽略了用戶(hù)對(duì)一個(gè)潔凈安全的初始系統(tǒng)的需求？我們?cè)鯓硬拍艽_保用戶(hù)享用到這樣一個(gè)令人放心的初始系統(tǒng)？這是一個(gè)擺在多個(gè)產(chǎn)業(yè)、機(jī)構(gòu)面前的大課題。 Check Point 僅希望拋磚引玉，積極尋求合作，為信息安全盡綿薄之力。

　　Check Point 團(tuán)隊(duì)正在積極協(xié)助有關(guān)政府部門(mén)進(jìn)行進(jìn)一步調(diào)查。我們也樂(lè)于協(xié)助相關(guān)手機(jī)廠商通知已知受影響用戶(hù)。

　　https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/