اكتشف باحثون أمنيون حملة ضخمة من البرامج الضارة المتزايدة، والتي أصابت بالفعل ما يقرب من 5 ملايين هاتف في جميع أنحاء العالم.
البرمجيات التي تم اكتشافها أطلق عليها RottenSys، وقد تم تثبيت هذه البرمجيات الضارة التي تتنكر في شكل تطبيق خدمة واي فاي على الملايين من الهواتف الجديدة من شركات Honor، هواوي، Xiaomi، Oppo، Vivo، سامسونج وGionee. وقد قامت شركة Tian Pai بشحن جميع هذه الأجهزة المتضررة؛ لكن الباحثين ليسوا متأكدين مما إذا كانت الشركة قد شاركت بشكل مباشر في هذه الحملة.
وفقًا لفريق Check Point Mobile Security الذي اكتشف هذه الحملة، فإن برمجيات RottenSys هي عبارة عن برامج ضارة متقدمة لا توفر أي خدمة آمنة ذات صلة بخدمة الواي فاي؛ لكنها تأخذ جميع أذونات أندرويد الحساسة لتمكين الأنشطة الضارة. وأضافوا أنه وفقًا لما وجدوه فأن برمجيات RottenSys الخبيثة بدأت في الانتشار في سبتمبر 2016، وبحلول يوم 12 مارس 2018 أُصيب 4664460 جهاز ببرمجيات RottenSys.
وحتى لا يتم اكتشاف البرمجيات فأن تطبيق خدمة واي فاي المزيف يأتي في البداية بدون أي عناصر ضارة، ولا يبدأ أي نشاط ضار على الفور. حيث تم تصميم برمجيات RottenSys للتواصل مع سيرفرات قنوات أوامر وتحكم للحصول على قائمة المكونات المطلوبة، والتي تحتوي على الرموز الخبيثة الفعلية. بعد ذلك تقوم البرمجيات بتحميل وتثبيت الرموز باستخدام أمر التحميل بدون إخطارات DOWNLOAD_WITHOUT_NOTIFICATION، الذي لا يتطلب أي تفاعل من المستخدم.
الآن فأن حملة البرامج الضارة الضخمة تدفع بمكون إعلانات متسللة إلى جميع الأجهزة المصابة، يقوم بعرض الإعلانات بشكل إجباري على الشاشة الرئيسية للجهاز كنوافذ منبثقة أو إعلانات بملء الشاشة لتوليد أرباح إعلانية احتيالية.
وأوضح الباحثون أن RottenSys هي شبكة إعلانية هجومية، ففي العشر أيام الماضية قامت بعرض إعلانات هجومية 13250756 مرة، منها 548822 تم تحويلها لنقرات على الإعلانات لتوليد الأرباح. وأضافوا أن المخترقون تمكنوا من تحقيق مكاسب أكثر من 115000 دولار في العشرة أيام الماضية؛ لكن يبدو أنهم في صدد الدفع بشيء مؤذي أكثر من مجرد عرض إعلانات بشكل إجباري.
وبسبب تصميم RottenSys لتحميل أي مكونات جديدة وتثبيتها من خادم قناة أوامر وتحكم، ما يُمكن المخترقين من السيطرة الكاملة على ملايين الأجهزة المصابة. وكشف التحقيق أيضًا عن بعض الأدلة التي تُشير إلى أن المخترقين قد بدأوا بالفعل في تحويل الملايين من تلك الأجهزة المصابة إلى شبكة بوت نت ضخمة. ووُجد أن بعض الأجهزة المصابة تقوم بتثبيت مكون RottenSys جديد يمنح المهاجمين قدرات أوسع، بما في ذلك تثبيت تطبيقات إضافية وتحويل واجهة المستخدم لتعمل بشكل تلقائي.
وأشار الباحثون إلى أن جزء من آلية التحكم في البوت نت قد تم دمجه في Lua scripts، وإذا لم يتم التدخل يمكن للمخترقين إعادة استخدام قناة توزيع البرامج الضارة الموجودة لديهم وفهم التحكم في ملايين الأجهزة.