By | March 16, 2018

זן סיני של תוכנה זדונית בשם RottenSys הצליחו להדביק כמעט 5 מיליון מכשירי אנדרואיד.

“צ’ק פוינט צוות אבטחה נייד גילה משפחה חדשה של תוכנה זדונית נפוצה מיקוד כמעט 5 מיליון משתמשים עבור המודעה הונאה-הכנסות. הם היו קוראים לה ‘RottenSys’ עבור המדגם נתקלנו זה היה בתחילה מחופש שירות מערכת אינטרנט אלחוטי.” ניתוח של הברית צ’ק פוינט.

החוקרים הביטחון החלה לחקור את הנושא לאחר שגילה מערכת שהכריזו יוצא דופן שירות Wi-Fi (系统WIFI服务) בטלפון Xiaomi Redmi. מה המומחים מצא כי השירות אינו מספק כל מאובטחת Wi-Fi, מבקש מספר הרשאות אנדרואיד במקום.

התוכנה הזדונית RottenSys כרוך שתי טכניקות התחמקות:

  • הטכניקה הראשונה מורכבת דחיית פעולות עבור זמן.
  • הטכניקה השנייה משתמש של טפי אשר אינו מציג כל פעילות זדונית בהתחלה. פעם אחת המכשיר פעילה ומגע טפטפת, הפיקוד והבקרה (C & C) שרת אשר שולח אותו רשימה של רכיבים נוספים הדרושים עבור פעילותה.

קוד זדוני מסתמך על שני פרויקטים של קוד פתוח:

  • המסגרת וירטואליזציה קטן . RottenSys שימושים קטן כדי ליצור וירטואליים גורמים מכילים עבור הרכיבים שלו, עם הטריק הזה, התוכנה הזדונית יכול להפעיל משימות במקביל, מוחץ מגבלות מערכת ההפעלה אנדרואיד.
  • ספריית MarsDaemon שמחזיק apps “מתים”. MarsDaemon משמש כדי לשמור על תהליכים בחיים, אפילו אחרי משתמשים לסגור אותם. השימוש בו התוכנה הזדונית הוא תמיד אפשרות להזריק לספירה.

החוקרים הביטחון טוענים כי botnet RottenSys יהיו יכולות נרחבות לרבות בשקט התקנת יישומים נוספים ואוטומציה UI. מסיבה זו, קיים סיכון כי האקרים ישתמש botnet של פעילויות יותר מסוכן כמו הפצת ransomware.

“הזה botnet יהיו יכולות נרחבות לרבות בשקט התקנת אפליקציות נוספות ואוטומציה UI. מעניין, חלק מנגנון השליטה botnet מיושם בקבצי script Lua. ללא התערבות, התוקפים תזיק מחדש ערוץ הפצה הקיים שלהם תוכנות זדוניות, בקרוב תפיסתו לשלוט במשך מיליוני מכשירים.” ניתוח החוקרים קורא.

המומחים הבחין לראשונה RottenSys בספטמבר 2016, עם זאת, מאז מספר מערכות נגועות הגיעה 4,964,460.

. כעת, התוכנה הזדונית רק מטרות משתמשים סינית, מדביק מכשירים ניידים בעיקר, כגון Huawei, Xiaomi, Coolpad, LeEco, vivo יריבים.

לפי המומחים, התוקפים הם מוטיבציה כלכלית, ביצוע בקירוב $115,000 כל עשרה ימים.

Leave a Reply

Your email address will not be published. Required fields are marked *