近期，媒体曝光Android手机正遭受某个恶意团伙制造的手机恶意广告推送，国内主流手机品牌均受到影响。自去年10月底开始，有安卓手机用户反映手机突然变慢，并且总是接收“系统WiFi服务”崩溃的提示。对相关程序的数字签名证书进行查看后发现，“系统WiFi服务”既不属于任何已知的Android移动生态圈证书，也不具备任何系统WiFi相关功能。

此次Android设备受到的大范围攻击，其背后是恶意团伙制造的恶意软件——RottenSys（堕落的系统）从中作祟，伪装成系统服务应用进行传播。目前，腾讯手机管家依托自研杀毒引擎TAV，对假冒系统服务的“系统WiFi服务”、“系统桌面”病毒软件实现了精准查杀。

（图：Android手机遭遇RottenSys攻击，腾讯手机管家实现查杀）

事实上，RottenSys伪装的系统应用并不是手机系统自带的，一些Android系统使用者通过未知第三方应用商店下载App，增加了意外感染恶意程序的可能性；另一方面恶意程序可能安装于手机出厂后、用户购买前的某个环节。调查发现，超过一半受病毒感染的手机都是通过杭州一家网络科技公司购买，很可能曾被经销商偷偷安装一些已被RottenSys感染的恶意程序。

据了解，RottenSys 团伙活动始于 2016 年 9 月，团伙活动在 2017 年 7 月经历爆发式增长后进入稳定增长期。相关数据显示，截止今年3月12日，被感染安卓手机总数高达494万4千余部。3月3日至12日仅10天的时间，RottenSys 团伙向受害手机用户强行推送了1325万余次广告展示，诱导获得54万余次广告点击，保守估计不正当广告收入约为72万人民币。

腾讯手机管家安全专家杨启波指出，RottenSys之所以导致如此严重的后果，也与其隐蔽性有着极大的关系，主要表现为：RottenSys初始病毒激活后，从黑客服务器静默下载并加载3个恶意模块，等待1至3天后才开始尝试接收、推送全屏或弹窗广告；同时使用恶意模块加载，实现长期系统驻留、避免安卓关闭其后台程序的作案前提。

大多数情况下，RottenSys 初始恶意软件安装在手机的普通存储区域（而非系统保护区域），受影响用户可以自行卸载。腾讯手机管家安全专家杨启波提醒，如果用户怀疑自己可能是 RottenSys 受害者，可以尝试在安卓系统设置的 App 管理中寻找并卸载可疑软件；同时借助腾讯手机管家进行防护，对应用程序进行安全扫描及时识别风险，扫描“系统WiFi服务”、“系统桌面”等恶意软件并安全处理，避免更严重的后果。