近500万台曝预装恶意软件 全球排名前列安卓系统手机均上榜(2)
时间:2018-04-26 15:08 来源:闽南新闻网 作者:李冰冰 点击:次
天派相关渠道贡献了我们观察到的受感染设备总数的49.2%。根据中国《国家企业信用信息公示系统》记录的信息,天派提供从售前定制、在线/离线批发到客户服务等多种服务。它涵盖三星、宏达电、苹果、小米、中兴、酷派、联想、华为等市场顶级品牌的区域销售。 天派可能不是该运动的直接参与者。然而,这与我们的假设相关,即在购买之前恶意软件就已经进入了用户的设备。 效果如何? 我们设法进一步研究这种威胁,并获得了能够显示此恶意活动真实程度的数据。 我们确定了RottenSys使用的两台并行C&C服务器。我们还设法分析攻击并定义攻击者操作的单独渠道,甚至确定向用户显示受感染设备和欺诈性广告的数量。 衡量影响 根据我们的调查结果,RottenSys恶意软件于2016年9月开始传播。截至2018年3月12日,RothenSys感染了4,964,460台设备。受影响最大的移动设备品牌是荣耀、华为和小米。
随着我们的调查进一步深入,我们发现了用于RottenSys初始滴管不同变体的更多C&C服务器。因此,我们相信受害者的真实人数可能会更多。 这一切都源自于“钱” RottenSys是一个极具侵略性的广告网络。仅在过去的10天中,它就出现了13,250,756次攻击性广告(在广告行业被称为“印象”,指广告信息接触受众成员的一次机会),其中548,822次被转化为广告点击次数。举例来说,我们保守估计每次点击收益为20美分、每千次“印象”收益为40美分。根据这些数据进行计算,仅在过去十天内,攻击者就从其恶意操作中赚取了超过11.5万美元。
探索新的业务领域 在调查RottenSys时,我们发现的证据表明攻击者所做的事情远比仅仅展示不请自来的广告更具破坏性。显然,自2018年2月初以来,攻击者一直在通过相同的C&C服务器测试新的僵尸网络活动。 攻击者计划利用腾讯的Tinker应用程序虚拟化框架作为dropper机制。意图分发的有效载荷可以将受害者设备变成僵尸网络的从属设备。这个僵尸网络将具有广泛的功能,包括静默安装额外的应用程序和UI自动化。有趣的是,僵尸网络的一部分控制机制是在Lua脚本中实现的。在没有干预的情况下,攻击者可以重新使用他们现有的恶意软件分发渠道,并很快掌握数百万设备的控制权。
缓解建议 定位在Android主屏幕上显示的恶意广告的来源对于普通用户来说始终是具有挑战性的,缓解更加困难。幸运的是,如果用户知道要删除的确切软件包名称,则可以卸载RottenSys dropper。如果你的全新手机在主屏幕上遭遇未知广告,请转到Android系统设置,然后转到应用管理器,查找下表中展示的恶意应用并将其卸载:
最后的想法 这已经不是我们第一次看到移动设备在它们接触到普通消费者之前就已经遭到了破坏。仅在两周前,来自俄罗斯的防病毒供应商Dr.Web就报告了类似的情况,其中恶意软件被嵌入在了一些低价为的Android智能手机固件中。 虽然受影响的品牌和恶意软件机制这次在很大程度上有所不同,但所反应出的问题是非常现实且一致的。在最终用户购买Android设备之前,谁应该保护它?如何让普通用户享受到安全的全新移动设备?没有直接的答案。行业必须采取行动,因为数字安全是一项十分关键的消费权利。 (责任编辑:admin) |
