受感染手機(jī)用戶會感受到手機(jī)運(yùn)行速度大幅變慢，并伴以可疑“系統(tǒng) WIFI 服務(wù)”頻繁崩潰。

　　以小米用戶論壇信息為例，我們發(fā)現(xiàn)從 17 年 10 月底開始出現(xiàn)了多個類似用戶報告。然而幾乎所有用戶將問題歸咎于系統(tǒng)。由此可見 RottenSys 假扮系統(tǒng)軟件的策略相當(dāng)成功。

　　RottenSys 初始病毒激活后，從黑客服務(wù)器靜默下載并加載 3 個惡意模塊。等待 1 至 3 天后，開始嘗試接收、推送全屏或彈窗廣告。病毒使用了由 Wequick 開發(fā)的 Small 開源架構(gòu)進(jìn)行隱秘的惡意模塊加載，并使用另一個開源項目 MarsDaemon 來完成長期系統(tǒng)駐留、 避免安卓關(guān)閉其后臺程序。

　　RottenSys 初始病毒的數(shù)字簽名證書不屬于任何已知小米移動生態(tài)圈證書，并且它不具備任何系統(tǒng) Wi-Fi 相關(guān)的功能。用排除法，在對“系統(tǒng) WIFI 服務(wù)”安裝信息仔細(xì)觀測及大量額外數(shù)據(jù)分析后，我們認(rèn)為該惡意軟件很可能安裝于手機(jī)出廠之后、用戶購買之前的某個環(huán)節(jié)。據(jù)進(jìn)一步推算，大約 49.2%的已知 RottenSys 感染于此類方式。

　　值得慶幸的是，大多數(shù)情況下，RottenSys 初始惡意軟件安裝在手機(jī)的普通存儲區(qū)域（而非系統(tǒng)保護(hù)區(qū)域）。受影響用戶可以自行卸載。如果您懷疑自己可能是 RottenSys 受害者，您可以嘗試在安卓系統(tǒng)設(shè)置的 App 管理中尋找以下可能出現(xiàn)的軟件并進(jìn)行卸載：

　　這已經(jīng)不是第一次手機(jī)信息安全圈發(fā)現(xiàn)手機(jī)在到達(dá)最終用戶手上之前就被安插了惡意軟件。 Dr. Web 等友商陸陸續(xù)續(xù)披露過類似的事件。不同的團(tuán)伙，不同的惡意軟件，相同的線下傳播手法。寫在消費者權(quán)益日之時，我們不禁想問，除了保證普通用戶購買到硬件質(zhì)量合格的手機(jī)以外，我們是否忽略了用戶對一個潔凈安全的初始系統(tǒng)的需求？我們怎樣才能確保用戶享用到這樣一個令人放心的初始系統(tǒng)？這是一個擺在多個產(chǎn)業(yè)、機(jī)構(gòu)面前的大課題。 Check Point 僅希望拋磚引玉，積極尋求合作，為信息安全盡綿薄之力。

　　Check Point 團(tuán)隊正在積極協(xié)助有關(guān)政府部門進(jìn)行進(jìn)一步調(diào)查。我們也樂于協(xié)助相關(guān)手機(jī)廠商通知已知受影響用戶。

　　https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/