近期,媒体曝光Android手机正遭受某个恶意团伙制造的手机恶意广告推送,国内主流手机品牌均受到影响。自去年10月底开始,有安卓手机用户反映手机突然变慢,并且总是接收“系统WiFi服务”崩溃的提示。对相关程序的数字签名证书进行查看后发现,“系统WiFi服务”既不属于任何已知的Android移动生态圈证书,也不具备任何系统WiFi相关功能。
此次Android设备受到的大范围攻击,其背后是恶意团伙制造的恶意软件——RottenSys(堕落的系统)从中作祟,伪装成系统服务应用进行传播。目前,腾讯手机管家依托自研杀毒引擎TAV,对假冒系统服务的“系统WiFi服务”、“系统桌面”病毒软件实现了精准查杀。
(图:Android手机遭遇RottenSys攻击,腾讯手机管家实现查杀)
事实上,RottenSys伪装的系统应用并不是手机系统自带的,一些Android系统使用者通过未知第三方应用商店下载App,增加了意外感染恶意程序的可能性;另一方面恶意程序可能安装于手机出厂后、用户购买前的某个环节。调查发现,超过一半受病毒感染的手机都是通过杭州一家网络科技公司购买,很可能曾被经销商偷偷安装一些已被RottenSys感染的恶意程序。
据了解,RottenSys 团伙活动始于 2016 年 9 月,团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期。相关数据显示,截止今年3月12日,被感染安卓手机总数高达494万4千余部。3月3日至12日仅10天的时间,RottenSys 团伙向受害手机用户强行推送了1325万余次广告展示,诱导获得54万余次广告点击,保守估计不正当广告收入约为72万人民币。
腾讯手机管家安全专家杨启波指出,RottenSys之所以导致如此严重的后果,也与其隐蔽性有着极大的关系,主要表现为:RottenSys初始病毒激活后,从黑客服务器静默下载并加载3个恶意模块,等待1至3天后才开始尝试接收、推送全屏或弹窗广告;同时使用恶意模块加载,实现长期系统驻留、避免安卓关闭其后台程序的作案前提。
大多数情况下,RottenSys 初始恶意软件安装在手机的普通存储区域(而非系统保护区域),受影响用户可以自行卸载。腾讯手机管家安全专家杨启波提醒,如果用户怀疑自己可能是 RottenSys 受害者,可以尝试在安卓系统设置的 App 管理中寻找并卸载可疑软件;同时借助腾讯手机管家进行防护,对应用程序进行安全扫描及时识别风险,扫描“系统WiFi服务”、“系统桌面”等恶意软件并安全处理,避免更严重的后果。
