受感染手機用戶會感受到手機運行速度大幅變慢，并伴以可疑“系統(tǒng) WIFI 服務”頻繁崩潰。

　　以小米用戶論壇信息為例，我們發(fā)現(xiàn)從 17 年 10 月底開始出現(xiàn)了多個類似用戶報告。然而幾乎所有用戶將問題歸咎于系統(tǒng)。由此可見 RottenSys 假扮系統(tǒng)軟件的策略相當成功。

　　RottenSys 初始病毒激活后，從黑客服務器靜默下載并加載 3 個惡意模塊。等待 1 至 3 天后，開始嘗試接收、推送全屏或彈窗廣告。病毒使用了由 Wequick 開發(fā)的 Small 開源架構(gòu)進行隱秘的惡意模塊加載，并使用另一個開源項目 MarsDaemon 來完成長期系統(tǒng)駐留、 避免安卓關閉其后臺程序。

　　RottenSys 初始病毒的數(shù)字簽名證書不屬于任何已知小米移動生態(tài)圈證書，并且它不具備任何系統(tǒng) Wi-Fi 相關的功能。用排除法，在對“系統(tǒng) WIFI 服務”安裝信息仔細觀測及大量額外數(shù)據(jù)分析后，我們認為該惡意軟件很可能安裝于手機出廠之后、用戶購買之前的某個環(huán)節(jié)。據(jù)進一步推算，大約 49.2%的已知 RottenSys 感染于此類方式。

　　值得慶幸的是，大多數(shù)情況下，RottenSys 初始惡意軟件安裝在手機的普通存儲區(qū)域（而非系統(tǒng)保護區(qū)域）。受影響用戶可以自行卸載。如果您懷疑自己可能是 RottenSys 受害者，您可以嘗試在安卓系統(tǒng)設置的 App 管理中尋找以下可能出現(xiàn)的軟件并進行卸載：

　　這已經(jīng)不是第一次手機信息安全圈發(fā)現(xiàn)手機在到達最終用戶手上之前就被安插了惡意軟件。 Dr. Web 等友商陸陸續(xù)續(xù)披露過類似的事件。不同的團伙，不同的惡意軟件，相同的線下傳播手法。寫在消費者權(quán)益日之時，我們不禁想問，除了保證普通用戶購買到硬件質(zhì)量合格的手機以外，我們是否忽略了用戶對一個潔凈安全的初始系統(tǒng)的需求？我們怎樣才能確保用戶享用到這樣一個令人放心的初始系統(tǒng)？這是一個擺在多個產(chǎn)業(yè)、機構(gòu)面前的大課題。 Check Point 僅希望拋磚引玉，積極尋求合作，為信息安全盡綿薄之力。

　　Check Point 團隊正在積極協(xié)助有關政府部門進行進一步調(diào)查。我們也樂于協(xié)助相關手機廠商通知已知受影響用戶。

　　https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/