哪些安卓手機(jī)最易感染惡意廣告病毒？

　　隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，大多數(shù)人開始依賴手機(jī)，使用手機(jī)看視頻、支付等，為此，手機(jī)病毒也開始出現(xiàn)在手機(jī)上。據(jù)悉，有近500萬的安卓手機(jī)感染了惡意廣告病毒，哪些手機(jī)比較容易感染病毒呢？也許你的手機(jī)已經(jīng)中了病毒。

　　對(duì)于這條“金科玉律”，黑產(chǎn)從業(yè)者有著透徹的領(lǐng)悟。

　　回想一下，你以前在使用電腦時(shí)所遇到的那些問題，現(xiàn)在是不是逐步轉(zhuǎn)移到了手機(jī)上？

　　比如，手機(jī)有時(shí)會(huì)卡，運(yùn)行變慢；總是有煩人的廣告彈窗出現(xiàn)；某些程序正在偷偷的竊取你的隱私信息……

　　最近，安全公司CheckPoint發(fā)現(xiàn)了中國(guó)多款主流安卓手機(jī)，正遭受同一個(gè)團(tuán)伙制造的手機(jī)惡意廣告推送，中招的有榮耀、華為、小米、OPPO、vivo等。

　　這些惡意程序到底是如何潛入手機(jī)的？中招后手機(jī)會(huì)出現(xiàn)哪些癥狀？如何見招拆招？且聽小編為你慢慢分析。

　　披著羊皮的狼---RottenSys

　　由于本次事件始于一個(gè)偽裝成安卓系統(tǒng)服務(wù)的惡意軟件，CheckPoint的安全團(tuán)隊(duì)將此命名為RottenSys（墮落的系統(tǒng)）。

　　說到這款惡意軟件被發(fā)現(xiàn)的過程，也是很曲折了。

　　最先開始，安全研究人員發(fā)現(xiàn)有不少用戶吐槽手機(jī)運(yùn)行速度大幅變慢，并且總是接收到“系統(tǒng)WIFI服務(wù)”崩潰的提示，按理來說，一家這樣不奇怪，但如果多款手機(jī)都出現(xiàn)這樣的問題，就有點(diǎn)蹊蹺了。

　　以小米為例，自去年10月底開始，就有不少用戶在論壇里指出這個(gè)問題，但當(dāng)時(shí)幾乎所有人都將問題歸咎于系統(tǒng)�？梢哉f，RottenSys假扮系統(tǒng)軟件的策略相當(dāng)成功。

　　但是，當(dāng)研究人員對(duì)相關(guān)程序的數(shù)字簽名證書進(jìn)行查看后，發(fā)現(xiàn)它不屬于任何已知小米移動(dòng)生態(tài)圈證書，與此同時(shí)，它也不具備任何系統(tǒng)Wi-Fi相關(guān)的功能。

　　既然不是系統(tǒng)自帶的，那惡意程序又是如何潛入用戶的手機(jī)中的？

　　CheckPoint的研究人員在對(duì)“系統(tǒng)WIFI服務(wù)”安裝信息仔細(xì)觀測(cè)及大量額外數(shù)據(jù)分析后，懷疑該惡意軟件很可能安裝于手機(jī)出廠之后、用戶購(gòu)買之前的某個(gè)環(huán)節(jié)。

　　據(jù)CheckPoint透露，幾乎一半的受感染手機(jī)是通過中國(guó)電話分銷商“TianPai”購(gòu)買的，該分銷商的員工可能會(huì)趁著手機(jī)到達(dá)用戶手中前，在設(shè)備上安裝一些受RottenSys感染的應(yīng)用程序。

　　每天約有35萬部手機(jī)輪番接到惡意廣告推送

　　通過對(duì)已知數(shù)據(jù)的深入分析，CheckPoint認(rèn)為，RottenSys團(tuán)伙作案始于2016年9月，但它并沒有馬上動(dòng)手，而是花了時(shí)間和精力調(diào)整，使其擁有了更大的殺傷力。

　　安全研究團(tuán)隊(duì)在采訪時(shí)坦言，雖然之前也見過不少Android惡意軟件，但這么大規(guī)模的設(shè)備被感染，真不多見，之所以黑客這次能得逞，還得益于這兩個(gè)在GitHub的開源項(xiàng)目。

　　一個(gè)是由Wequick開發(fā)的Small開源架構(gòu)，它能進(jìn)行隱秘的惡意模塊加載，RottenSys初始病毒激活后，會(huì)從黑客服務(wù)器靜默下載并加載3個(gè)惡意模塊，在1至3天后，就會(huì)嘗試接收、推送彈窗廣告。

　　另外一個(gè)，是開源項(xiàng)目MarsDaemon，它能幫助惡意程序?qū)崿F(xiàn)長(zhǎng)期在系統(tǒng)上駐留，并避免安卓關(guān)閉其后臺(tái)程序。即使在用戶關(guān)閉它們之后，也無法關(guān)閉廣告注入機(jī)制，可以說是很流氓了。

　　“裝備”就位后，該團(tuán)伙在2017年7月經(jīng)歷了爆發(fā)式增長(zhǎng)，據(jù)CheckPoint統(tǒng)計(jì)：

　　截止2018年3月12日，累計(jì)受感染安卓手機(jī)總量高達(dá)496萬4千余部；受感染的手機(jī)中，每天約有35萬部輪番受到惡意廣告推送的侵害。

　　受感染手機(jī)品牌分布（前五）：榮耀、華為、小米、OPPO、vivo。

　　僅3月3日到12日10天期間，RottenSys團(tuán)伙向受害手機(jī)用戶強(qiáng)行推送了1325萬余次廣告展示，誘導(dǎo)獲得了54萬余次廣告點(diǎn)擊。保守估計(jì)不正當(dāng)廣告收入約為72萬人民幣。

　　花了錢買了手機(jī)，到頭來還得遭受廣告騷擾，受分銷商的盤剝，真是心塞。

　　受影響用戶問題排除方法

　　全世界的人都在用安卓，為何單單我們國(guó)家的安卓機(jī)總是躺槍？

　　按理來說，蘋果和谷歌都是厲害又有錢的公司，ios和Android的安全性不應(yīng)該差這么多。

　　一個(gè)重要的點(diǎn)是，國(guó)內(nèi)的用戶，如果不架梯子，是不能在官方的“Googleplay”下載應(yīng)用的，很多時(shí)候就得在手機(jī)廠商提供的應(yīng)用商店進(jìn)行下載，比如小米的用戶會(huì)在小米的商店來下載，華為的用戶是在華為的應(yīng)用商店……在安全方面，需要各自的廠商進(jìn)行安全防護(hù)。

　　更何況，大多數(shù)用戶并不知道適當(dāng)?shù)腁ndroid安全最佳做法，并且會(huì)經(jīng)常安裝來自第三方商店的應(yīng)用程序，這就加大了感染惡意程序的機(jī)會(huì)。

　　以這次的RottenSys為例，這類惡意軟件內(nèi)部操作模式唯一的弱點(diǎn)是安裝流程，受RottenSys感染的應(yīng)用程序往往會(huì)要求一個(gè)巨大的權(quán)限列表，安全意識(shí)好，并且細(xì)心的用戶可以輕松發(fā)現(xiàn)并避免安裝這些應(yīng)用程序。但是，可惜的是，并非所有的Android用戶都對(duì)隱私有意識(shí)，大多數(shù)日常用戶都傾向于為應(yīng)用程序提供所需的所有權(quán)限。

　　值得慶幸的是，大多數(shù)情況下，RottenSys初始惡意軟件安裝在手機(jī)的普通存儲(chǔ)區(qū)域（而非系統(tǒng)保護(hù)區(qū)域），受影響用戶可以自行卸載。安全研究人員建議，如果你懷疑自己可能是RottenSys受害者，可以嘗試在安卓系統(tǒng)設(shè)置的App管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載：

　　為了防止手機(jī)中病毒，在使用手機(jī)的時(shí)候，不要隨意點(diǎn)開鏈接，安裝不知名的第三方應(yīng)用。