Operasi malware China saat ini membangun botnet besar-besaran, tercatat hampir 5 juta smartphone Android keluaran dari Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung dan GIONEE ditemukan terpasang malware bernama RottenSys.
Dalam bentuknya saat ini, RottenSys digunakan untuk menampilkan iklan dengan agresif di perangkat pengguna, namun periset dari perusahaan keamanan Check Point telah menemukan bukti bahwa penjahat menerapkan modul Lua yang baru untuk mengumpulkan semua handset yang terinfeksi ke dalam botnet raksasa.
“Botnet ini akan memiliki kemampuan luas termasuk memasang aplikasi tambahan dan otomatisasi UI secara diam-diam,” kata periset, karena khawatir penjahat bisa menjadi kurang ajar dan menggunakan malware untuk sesuatu yang lebih mengganggu dan merusak pengguna, dan bukan hanya menampilkan iklan di layarnya.
RottenSys telah aktif sejak 2016
Malware pertama kali muncul pada bulan September 2016, dan penjahat menghabiskan sebagian besar waktunya untuk mencari target baru.
Perlahan tapi pasti, jumlah korban RottenSys tumbuh, dan menurut Check Point, malware tersebut sekarang berada di sekitar 4.964.460 perangkat.
Komponen botnet berbahaya yang memberikan kontrol penyerang terhadap semua perangkat baru ditambahkan bulan lalu, pada bulan Februari 2018, dan selama hampir dua tahun terakhir, malware telah berfokus pada pengiriman iklan.
Periset memperkirakan pembuat malware saat ini menghasilkan sekitar $115.000 setiap sepuluh hari, berdasarkan tayangan iklan yang dapat mereka amati selama analisis mereka.
RottenSys menggunakan virtualisasi dan proses “undead”
Ada keluarga malware Android lainnya yang diamati di masa lalu, namun hanya sedikit yang berhasil menginfeksi begitu banyak perangkat. Alasan di balik kesuksesan RottenSys ditemukan dalam kodenya.
Malware menggunakan dua proyek open-source yang dibagikan di GitHub – Small, framework virtualisasi aplikasi; dan MarsDaemon, sebuah library yang membuat aplikasi “undead”.
Pertama, Malware menggunakan Small untuk membuat wadah virtual untuk komponen dalamnya, sehingga memungkinkan mereka untuk berjalan secara paralel, pada saat bersamaan -sesuatu yang tidak didukung oleh OS Android- dan membantu proses pengiriman aplikasi.
Kedua, Malware menggunakan MarsDaemon untuk menjaga agar proses tetap hidup, bahkan setelah pengguna menutupnya, memastikan mekanisme injeksi iklan tidak dapat dimatikan.
RottenSys aktif di pasar China
Satu-satunya titik lemah dalam mode operasi internal malware adalah rutinitas penginstalannya. Aplikasi yang terinfeksi dengan RottenSys cenderung meminta daftar izin yang sangat besar. Pengguna yang penuh perhatian dapat dengan mudah melihat dan menghindari pemasangan aplikasi semacam itu. Tapi, sayangnya, tidak semua pengguna Android sadar privasi, dan kebanyakan pengguna sehari-hari akan cenderung memberi aplikasi semua izin yang mereka butuhkan.
Just reminder; tidak ada Google Play Store di China, sehingga sebagian besar pengguna tidak mengetahui praktik terbaik keamanan Android yang tepat dan akan memasang aplikasi dari toko aplikasi pihak ketiga.
Selanjutnya, Check Point menemukan bukti yang menunjukkan bahwa hampir setengah dari telepon yang terinfeksi telah dibeli melalui Tian Pai, distributor telepon berbasis China, yang menyarankan agar seorang karyawan atau kelompok mungkin menginstal beberapa aplikasi yang terinfeksi malware ini di perangkat pengguna sebelum membelinya.
Meskipun RottenSys menjadi strain malware yang terlokalisasi di wilayah China, penggunaan aplikasi Small dan MarsDaemon mungkin menjadi populer dan akan hadir di strain malware lainnya yang aktif di seluruh dunia.
Selain itu, tidak jelas bagaimana malware ini akan menggunakan botnet mereka yang baru dibuat, dan kami mungkin akan segera melihatnya digunakan untuk serangan DDoS, serupa dengan bagaimana WireX menggunakan botnet mereka sebelum ditutup oleh koalisi perusahaan keamanan dan penegak hukum.
Daftar aplikasi yang ditemukan terinfeksi dengan RottenSys:
- com.android.yellowcalendarz (每日黄历)
- com.changmi.launcher (畅米桌面)
- com.android.services.securewifi (系统WIFI服务)
- com.system.service.zdsgt
