信息來源：secdoctor

外媒 3 月 14 日消息，安全公司 Check Point 本周披露了一個名為 RottenSys 的惡意軟件家族 —— 通過偽裝成系統(tǒng) Wi-Fi 服務，增加廣告收入。根據(jù)調(diào)查，自 2016 年起，該移動廣告軟件已感染了近 500 萬臺 Android 設(shè)備，其中受影響較大的包括榮耀、華為以及小米。

Check Point 稱最近小米紅米手機上的一個不尋常、自稱為系統(tǒng) Wi-Fi 服務的應用程序引起了其研究人員的注意。他們發(fā)現(xiàn)該應用程序不會向用戶提供任何安全的 Wi-Fi 相關(guān)服務，反而會要求許多敏感的 Android 權(quán)限，例如與 Wi-Fi 服務無關(guān)的易訪問性服務權(quán)限、用戶日歷讀取權(quán)限等等。

根據(jù) Check Point 的調(diào)查，惡意團伙利用 RottenSys 謀取暴利，每 10 天的收入能達到 115,000 美元。目前，感染排名靠前的手機品牌有華為榮耀、華為、小米、OPPO、vivo 等。并且需要注意的是，由于 RottenSys 的功能比較廣泛，攻擊者還可能會利用它來做出一些遠比廣告更具破壞性的行為。

RottenSys 惡意軟件部分細節(jié)：

惡意軟件實施兩種逃避技術(shù)：第一種技術(shù)包括在設(shè)定時間內(nèi)延遲操作；第二種技術(shù)使用不顯示任何惡意活動的 dropper。一旦設(shè)備處于活動狀態(tài)且安裝了 dropper，與之聯(lián)系的命令和控制（C＆C）服務器將會向其發(fā)送活動所需的其他組件列表。

惡意代碼依賴于兩個開源項目：

1、RottenSys 使用一個名為 Small 的開源 Android 框架（github.com/wequick/small）為其組件創(chuàng)建虛擬化容器。通過這種方法，惡意軟件就可以運行并行任務，從而攻破 Android 操作系統(tǒng)的限制。

2、為了避免 Android 系統(tǒng)關(guān)閉其操作，RottenSys 使用了另一個名為 MarsDaemon 的開源框架（github.com/Marswin/MarsDaemon）。

不過雖然 MarsDaemon 保持流程活躍，但它也阻礙了設(shè)備的性能并且消耗了電池。