多款Android手機上發現預裝惡意軟件
責編:mhshi |2018-03-19 10:36:48被譽為“系統Wi-Fi服務”應用程序的惡意軟件RottenSys預裝在華為榮耀,華為,小米,OPPO,Vivo,三星和GIONEE制造的數百萬臺全新智能手機上,這些智能手機在供應鏈的某個地方添加。所有這些受影響的設備都是通過位于杭州的手機經銷商發貨的,但研究人員并不確定該公司是否直接參與了此次活動。
根據我們的調查結果,RottenSys惡意軟件于2016年9月開始傳播。到2018年3月12日,RothenSys感染了4,964,460臺設備,“研究人員說。
為了逃避檢測,假的系統Wi-Fi服務應用程序最初沒有惡意組件,并且不會立即啟動任何惡意活動。
相反,RottenSys被設計為與其命令與控制服務器進行通信,以獲取包含實際惡意代碼的必需組件列表。
然后,RottenSys使用不需要任何用戶交互的“DOWNLOAD_WITHOUT_NOTIFICATION”權限相應地下載并安裝它們中的每一個。
黑客在過去10天內獲得115,000美元
此時,大規模的惡意軟件活動會將廣告軟件組件推送到所有受感染的設備上,這些設備會在設備的主屏幕上積極播放廣告,如彈出窗口或全屏廣告以產生欺詐性廣告收入。
“RottenSys是一個極具侵略性的廣告網絡,僅在過去的10天內,它就出現了13,250,756次積極廣告(在廣告行業稱為展示次數),其中548,822次被轉化為廣告點擊次數,”研究人員說。
據CheckPoint的研究人員稱,僅在過去10天內,該惡意軟件的作者就超過了115,000美元,但攻擊者所面臨的“更具破壞性的東西比僅僅顯示不請自來的廣告”。
調查還透露了一些證據,證明RottenSys攻擊者已經開始將數百萬被感染的設備變成一個巨大的僵尸網絡。已經發現一些被感染的設備安裝了一個新的RottenSys組件,它為攻擊者提供了更廣泛的功能,包括靜默安裝額外的應用程序和UI自動化。
“有趣的是,僵尸網絡的控制機制的一部分是在Lua腳本中實現的,沒有干預,攻擊者可以重復使用他們現有的惡意軟件分發渠道,并很快掌握數百萬設備的控制權,”研究人員指出。
這不是CheckPoint研究人員第一次發現受供應鏈攻擊影響的頂級品牌。
去年,該公司發現屬于三星,LG,小米,華碩,Nexus,Oppo和聯想的智能手機感染了兩個預裝惡意軟件(Loki Trojan和SLocker移動勒索軟件),旨在窺視用戶。
如何檢測和刪除Android惡意軟件?
要檢查您的設備是否感染了此惡意軟件,請轉至Android系統設置→App Manager,然后查找以下可能的惡意軟件包名稱:
- com.android.yellowcalendarz (每日黃歷)
- com.changmi.launcher (暢米桌面)
- com.android.services.securewifi (系統WIFI服務)
- com.system.service.zdsgt
If any of above is in the list of your installed apps, simply uninstall it.