广告程式RottenSys从供应链大举入侵，中国近500万支Android手机受害

资安业者Check Point本周揭露了一名为 RottenSys的广告程式家族，感染了中国近500万支的Android手机，并指出该恶意程式家族是在供应链阶段、尚未送到消费者手机前就被植入的，受感染的装置中，有49.2%出自杭州的天湃网络科技。

Check Point之所以会注意到RottenSys是因为该公司在小米科技的红米手机上看到一个自称为“系统Wi-Fi服务”应用程序，却发现该程式不但与Wi-Fi安全性一点关联都没有，还要求手机赋予该程式下载或读取行事历等权限，追查之下才知道它其实是个广告程式，而且可下载其它恶意程式。

从2016年9月RottenSys第一次现踪到今年的3月12日，已有496万支Android手机感染了RottenSys，它有各种依照活动内容、装置型态与广告平台的变种，但皆受到同样C&C服务器的控制，被Check Point归类为僵尸网络。

此外，分析亦显示这些装置是在供应链阶段就感染了RottenSys，其中有49.2%来自于杭州的天湃网络科技。天湃的业务包括手机批发、零售、维修、程式下载与系统更新等，合作的手机品牌涵盖了三星、HTC、苹果、小米、中兴、联想及华为等。

至于前三大感染RottenSys的Android手机品牌则依序是华为网络手机品牌荣耀（Honor）、华为与小米。（来源：CheckPoint）

RottenSys最主要的恶意活动是广告，它在十天内于近500万支手机上跳出了逾1300万次的广告，然而，有鉴于它具备安装其它程式的能力，也可能造成其它更危险的后果，例如散布勒索程式。

在技术上，RottenSys使用了两个开源码专案，一是替恶意元件建立虚拟化容器以同时执行各种恶意活动的Samll，其次则是用来避免Android系统关闭其操作的MarsDaemon，值得注意的是，用来保持恶意程式在装置上持续进行的MarsDaemon同时也会妨碍装置的效能与电池寿命。

为了躲避侦测，RottenSys会延后行动的时间，也会在自C&C服务器下载各种恶意元件之后才展开运作。