Androidは、深刻なマルウェアに対して脆弱であることが再び判明しました, 今回は感染の規模が想像以上に大きいです. セキュリティ研究者は大規模なものに出くわしました, に感染した絶え間ないキャンペーン 5 世界規模で100万台のモバイルデバイス. マルウェアはRottenSysと呼ばれています.
攻撃者は、Honorのような広く普及しているブランドによって何百万もの新しいデバイスにプリインストールされたシステムWi-Fiサービスアプリとしてそれを隠しました, Huawei, Xiaomi, OPPO, Vivo, サムスン, とGIONEE. デバイスはTianPaiを通じて出荷されました, 杭州を拠点とする携帯電話販売業者, しかし、その会社が悪意のあるキャンペーンと関係があるかどうかは不明です.
RottenSysAndroidマルウェアキャンペーンの詳細
チェック・ポイントのモバイルセキュリティチームの研究者 発見した ほぼ標的とする新しい広範なマルウェアファミリー 5 不正な広告収入のための百万人のユーザー. どうやら, これは、Androidの権限を乗っ取って、悪質な操作を開始するように設計された高度なマルウェアです。.
調査結果によると, マルウェアは9月に配布を開始しました 2016. 今年の3月までに, 感染しました 4,964,460 デバイス, 最大のAndroidマルウェアキャンペーンの1つになります.
RottenSysは検出をバイパスする方法?
偽のシステムWi-Fiサービスアプリには最初は悪意のあるコンポーネントがないため、操作の背後にいる悪意のある攻撃者は明らかに彼らが何をしているのかを知っています. また、疑わしいアクティビティを開始せず、しばらく静かになります. 攻撃的な行動の代わりに, マルウェアはコマンドおよび制御サーバーと通信して、悪意のあるコードを実際に含むコンポーネントのリストを取得しています.
それで, RottenSysマルウェアは、悪意のあるコンポーネントをサイレントにダウンロードし続けます, ユーザーの操作を必要としないDOWNLOAD_WITHOUT_NOTIFICATION権限を介して. 通常, マルウェアは3つの追加コンポーネントをダウンロードします.
必要なすべてのコンポーネントがダウンロードされたら, RottenSysは、「スモール」と呼ばれるオープンソースのAndroidアプリケーション仮想化フレームワークを展開します (github.com/wequick/small). このフレームワークにより、すべてのコンポーネントを同時に実行して、ポップアップウィンドウまたはフルスクリーン広告のいずれかの形式でデバイスのホーム画面に広告を表示する大規模なラフ広告ネットワークの悪意のある機能を組み合わせて実現できます。, 研究者は説明した.
Androidシステムによる操作のシャットダウンを回避するため, RottenSysは、MarsDaemonと呼ばれる別のオープンソースフレームワークを使用しています (github.com/Marswin/MarsDaemon). MarsDaemonがプロセスを存続させている間, また、デバイスのパフォーマンスを妨げ、バッテリーを消耗します.
RottenSysがGuangDianTongを採用するように適合されていることも注目に値します (Tencent広告プラットフォーム) とBaiduの広告詐欺操作のための広告交換. さらに, 研究者によると、マルウェアにはかなりの数のペイロードの亜種があります (スポイトと追加コンポーネント), 各バリアントは、さまざまなキャンペーンに合わせて調整されています, デバイスタイプ, 広告プラットフォーム, とスプレッドチャネル.
研究者は2つの並列Cを特定しました&RottenSysがその運用に使用したCサーバー. 彼ら "また、攻撃を分析し、攻撃者が操作する個別のチャネルを定義し、感染したデバイスやユーザーに表示される不正な広告の量を確認することもできました。」.
肝心なのは、RottenSysの運用は非常に積極的な広告ネットワークであるということです。:
過去に 10 一人で日, それは攻撃的な広告をポップしました 13,250,756 時間, と 548,822 そのうち広告クリックに翻訳された. 攻撃者がこのマルウェアから享受する可能性のある収益源の例として, 私たち [研究者] の控えめな見積もりに従って、これらのインプレッションとクリックからの収益を計算しました 20 クリックごとのセントと 40 1000インプレッションごとにセント. これらの計算によると, 攻撃者は、過去10日間だけで悪意のある操作から115,000ドル以上を稼ぎました!
RottenSysを軽減するために何ができるか?
ユーザーはRottenSysドロッパーをアンインストールする必要があります. でも, 完全に削除されるように、正確なパッケージ名を知っておく必要があります. 新品の携帯電話のホーム画面に不明な広告が表示されている場合, Androidのシステム設定に移動します, 次にアプリマネージャーに, 次のマルウェアパッケージ名を見つけます. 次に、それらをアンインストールします:
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: