多款Android手机上发现预装恶意软件

根据发现此活动的Check Point移动安全团队，RottenSys是一款先进的恶意软件，它不提供任何安全的Wi-Fi相关服务，但几乎需要所有敏感的Android权限才能启用其恶意活动。

根据我们的调查结果，RottenSys恶意软件于2016年9月开始传播。到2018年3月12日，RothenSys感染了4,964,460台设备，“研究人员说。

为了逃避检测，假的系统Wi-Fi服务应用程序最初没有恶意组件，并且不会立即启动任何恶意活动。

相反，RottenSys被设计为与其命令与控制服务器进行通信，以获取包含实际恶意代码的必需组件列表。

然后，RottenSys使用不需要任何用户交互的“DOWNLOAD_WITHOUT_NOTIFICATION”权限相应地下载并安装它们中的每一个。

黑客在过去10天内获得115,000美元

此时，大规模的恶意软件活动会将广告软件组件推送到所有受感染的设备上，这些设备会在设备的主屏幕上积极播放广告，如弹出窗口或全屏广告以产生欺诈性广告收入。

“RottenSys是一个极具侵略性的广告网络，仅在过去的10天内，它就出现了13,250,756次积极广告（在广告行业称为展示次数），其中548,822次被转化为广告点击次数，”研究人员说。

据CheckPoint的研究人员称，仅在过去10天内，该恶意软件的作者就超过了115,000美元，但攻击者所面临的“更具破坏性的东西比仅仅显示不请自来的广告”。

由于RottenSys设计用于从C＆C服务器下载并安装任何新组件，因此攻击者可以轻松武装或全面控制数百万受感染设备。
调查还透露了一些证据，证明RottenSys攻击者已经开始将数百万被感染的设备变成一个巨大的僵尸网络。已经发现一些被感染的设备安装了一个新的RottenSys组件，它为攻击者提供了更广泛的功能，包括静默安装额外的应用程序和UI自动化。

“有趣的是，僵尸网络的控制机制的一部分是在Lua脚本中实现的，没有干预，攻击者可以重复使用他们现有的恶意软件分发渠道，并很快掌握数百万设备的控制权，”研究人员指出。

这不是CheckPoint研究人员第一次发现受供应链攻击影响的顶级品牌。

去年，该公司发现属于三星，LG，小米，华硕，Nexus，Oppo和联想的智能手机感染了两个预装恶意软件（Loki Trojan和SLocker移动勒索软件），旨在窥视用户。

如何检测和删除Android恶意软件？

要检查您的设备是否感染了此恶意软件，请转至Android系统设置→App Manager，然后查找以下可能的恶意软件包名称：

• com.android.yellowcalendarz (每日黄历)
• com.changmi.launcher (畅米桌面)
• com.android.services.securewifi (系统WIFI服务)
• com.system.service.zdsgt

If any of above is in the list of your installed apps, simply uninstall it.

原文：https://thehackernews.com/2018/03/android-botnet-malware.html