前不久，ＣｈｅｃｋＰｏｉｎｔ公司向大众披露了一款名为“ＲｏｔｔｅｎＳｙｓ”（堕落的系统）的恶意软件。随后，移动安全联盟成员单位３６０、安天对此事件进行了追踪及详细技术分析。

　　３６０安全团队表示，确认“ＲｏｔｔｅｎＳｙｓ”主要是通过“刷机”或ＡＰＰ（再ｒｏｏｔ）的方式，在手机到达用户手中前，在目标上安装部分ＲｏｔｔｅｎＳｙｓ应用程序，从而达到感染传播的效果。

　　对此，３６０安全团队对“ＲｏｔｔｅｎＳｙｓ”进行技术分析，并出具了《ＲｏｔｔｅｎＳｙｓ事件分析报告》。报告中，３６０安全专家指出，该软件的主要伪装有多种类型，其中以“系统Ｗｉ－Ｆｉ服务”程序为主。而为了提高自身隐蔽性，静默安装权限获取、推迟操作设置、恶意模块云端下载等都是该程序精通的隐藏方式。而其主要传播途径则是经由一家名为“ＴｉａｎＰａｉ”的电话分销平台进行。

　　ＲｏｔｔｅｎＳｙｓ团伙活动始于２０１６年９月，在２０１７年经历爆发式增长后进入稳定增长期。相关数据显示，３月３日至１２日仅１０天时间，ＲｏｔｔｅｎＳｙｓ恶意软件便产生了１３２５万次广告，其中超５４万次转化为广告点击，并为该团伙盈利１１．５万美元。从如此高的“转化率”和“营业额”足以看出，ＲｏｔｔｅｎＳｙｓ恶意软件隐蔽性和盈利性极高。

　　据介绍，ＲｏｔｔｅｎＳｙｓ恶意软件之所以具备较高隐蔽性，主要在于其自身有多种“隐匿术”加持。以所谓的系统Ｗｉ－Ｆｉ服务为例，它实质上为一个“下载器”并与其控制服务器通讯，在接受到不法分子的下载指令后，便会自行实施广告推广服务。

　　首先，“系统Ｗｉ－Ｆｉ服务”会伪装成系统服务进程，打着“向用户提供任何Ｗｉ－Ｆｉ相关服务”的旗号招摇过市。由于很多用户对这一伪装并不了解，大多数会误认为该程序不存在威胁，就不会进行删除或卸载的操作。另外，“系统Ｗｉ－Ｆｉ服务”还拥有巨大的敏感权限列表，如静默安装下载等，这也便更利于其暗中行事。一旦该程序入侵用户手机，就会有一大波广告来袭。

　　为避免用户短时间内察觉出异常，“系统Ｗｉ－Ｆｉ服务”还有推迟操作的“应对策略”，用户中招后较长时间内它才会尝试接收、推送弹窗广告。而为了将恶意推广变得更加灵活，“系统Ｗｉ－Ｆｉ服务”的恶意模块则通过云端下载，并且使用开源的轻量级插件框架ＳｍａＩＩ，在保证恶意模块隐秘加载的同时，促使模块之间代码不相互依赖。当然了，用户想要借助简单的关机和重启操作，也是清除不掉该恶意软件的，究其原因主要在于“系统Ｗｉ－Ｆｉ服务”使用了开源框架、广播等手段来确保自身长期存活。

　　在此，３６０安全专家再次提醒广大用户，购买手机或是下载安装ＡＰＰ，最好通过官方、正规渠道，第三方销售平台或应用商店都存有一定的安全隐患。此外，在使用手机的过程中，还可借助３６０手机卫士等安全管理软件，对应用程序及安装包进行安全扫描，以防恶意软件暗藏其中，一经发现，可使用３６０手机卫士尽早查杀，避免其给用户带来更为惨重的后果。（完）