網絡安全公司 CheckPoint 安全研究員指出,自從 2016 年以來,一種稱為「RottenSys」的惡意廣告軟件,感染了 500 萬部 Android 流動裝置,普遍在中國大陸境內發售,當中包括了 Honor、華為、小米、OPPO、Vivo、Meizu 等中國產手機。研究員指這些病毒在手機銷售給買家之前已經被混入在手機之中,假扮成「Wi-Fi 服務」,並在用家使用手機時顯示全頁廣告。
根據 CheckPoint 發表的報告,指「RottenSys」有害程式現時已感染接近 500 萬部 Android 流動裝置,在手機交到使用者之前,這些有害程式已經被預載於手機中。根據調查,在小米手機「紅米」系列中,發現一項名為「System Wi-Fi service」的應用程式,CheckPoint 工程師發現程式取得了與 Wi-Fi 服務完全無關的行事曆、背景下載,以及其他不必要的權限許可。
CheckPoint 指出,「RottenSys」有害程式為免被用戶發覺,在植入初期不會有太多活動,只是在背後與神秘伺服器連接,下載有害程式。之後程式會實行一個虛擬架構「Small」,在主畫面上,或者顯示彈出式視窗,顯示全頁廣告。據調查這些廣告是連結到中國騰訊的廣告平台「廣點通」以及百度的「Baidu AD Exchange」服務。
▲有害程式最初會通過細小框架,逐步下載有廣告顯示能力的有害程式
▲有不少大陸用戶都上載畫面截圖
經調查後,CheckPoint 發現有 49.2% 中了有害程式的 Android 裝置,是經由總部設在中國杭州的「天湃淺裝」「天湃面」流動電話代理商的販售渠道中購得。Honor、華為、小米、OPPO、Vivo、Meizu 等中國產手機受到感染。CheckPoint 指有害程式製作者在過去 10 日已經得到超過 130 萬次的廣告顯示次數,推則廣告收入達到 11.5 萬美元(約90萬港元)。
▲CheckPoint估算10日內有害程式已為製作者賺取 11 萬美元收入
CheckPoint 指出以下 4 個 Package 以及 3 個 App 名稱同「RottenSys」有害程式有關,呼籲使用者如發現有這些程式或服務,便應盡早刪除。
報告原網址:https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/
資料來源:CheckPoint