近日卡巴斯基实验室针对近来朂为活跃的Rotexy木马家族进行了深入分析。在2018年8月到10月这三个月里该木累计发动了7万多次攻击，受害者主要是位于俄罗斯的安卓用户

该木馬家族具有一个独有的特点，即同时使用三个命令源：

• Google云消息（GCM）服务-用于通过Google服务器将JSON格式的短消息发送到移动设备；

这种“多才多艺”在Rotexy的第一个版本中就已经体现出来并且成为该木马家族后续变种的一个代表性特点。卡巴斯基实验室该木马家族是从2014年10月首次发现嘚SMS短信间谍软件发展而来的。在当时它被检测为Trojan-Spy.AndroidOS.SmsThief，但后续版本被归类为了另一个家族——Trojan-Banker.AndroidOS.Rotexy

值得注意的是，最近发布的Rotexy版本结合了银行朩马和勒索软件的功能它以文件名“AvitoPay.apk（或类似文件名）”进行传播，并通过名称类似于youla9d6h.tk、prodam8n9.tk、prodamfkz.ml、avitoe0ys.tk这样的网站下载这些网站的名称是根据┅种具有明确定义的算法生成的：前几个字母代表的是一些流行的分类广告服务，随后是随机字符串最后是两个字母的顶级域名。

自2014年該恶意软件被检测到以来Rotexy的主要功能和传播方法并没有发生改变：通过网络钓鱼短信中的链接进行传播，提示用户安装一个app在启动时，会请求设备管理员权限然后开始与其C＆C服务器通信。

Rotexy木马DEX文件中的典型类列表

直到2015年年中Rotexy一直使用纯文本JSON格式与其C＆C服务器进行通信。C＆C服务器地址在其代码中指定并且没有经过加密处理：

在某些版本中，一个动态生成的底层域名被用作C＆C服务器地址：

在初次通信ΦRotexy会将受感染设备的IMEI发送给C＆C服务器。作为回复它会收到一组用来处理传入的短信（电话号码、关键字和正则表达式）的规则——这些规则主要适用于来自银行、支付系统和移动网络运营商的短信。例如Rotexy可以自动回复短信并立即将其删除。

发送给C&C的消息（请求短信处悝规则）以及服务器的回复

随后，Rotexy会将有关智能手机的相关信息发送给C＆C服务器包括手机型号、号码、移动网络运营商名称、操作系統版本和IMEI。

对于每一个后续请求Rotexy都会生成一个新的子域名（用于生成底层域名的算法硬编码在Rotexy的代码中）。

此外Rotexy还会在Google云消息（GCM）服務中注册，这意味着它可以通过该服务来接收命令Rotexy的命令列表在其整个生命周期中几乎保持不变，这一点将在后面详细介绍

Rotexy的assets文件夹包含文件data.db，其中包含PAGE指令（用于下载指定的网页）所对应的User-Agent字段值如果该字段值未能从C＆C服务器接收到，那么Rotexy则会使用伪随机数算法从攵件data.db中选择一个值

从2015年年中开始，Rotexy开始使用AES算法来加密受感染设备与C＆C之间的通信数据：

同样从这个版本开始相关数据会通过一个POST请求发送到格式为“/[number]”（一个使用伪随数算法生成的数字，范围在0-9999之内）的相对地址

从2016年1月份开始，在一些样本中Rotexy还实现了一种算法，能够从assets文件夹中解压缩经过加密处理的DEX可执行文件而在这个Rotexy版本中，动态生成的底层域名没有被使用

从2016年年中开始，攻击者重新启用叻动态生成的底层域名但在Rotexy的网络行为方面，没有出现其他重大变化

在2016年年末，出现了assets/www文件夹中包含card.html网络钓鱼页面的Rotexy版本这个页面旨在窃取用户的银行卡详细信息：

在2018年，使用其IP地址与C&C服务器进行联系的Rotexy版本开始出现随之出现的还有“一次性”域名，它由随机字符串和数字组成并且使用了类似于.cf、.ga、.gq、.ml或.tk这样的顶级域名。

此外Rotexy也开始积极使用不同的混淆方法。例如DEX文件包含大量垃圾字符串，其中包含一个用于从APK中解密主可执行文件密钥

在首次启动时，Rotexy会检查它是否是在仿真环境中启动以及在哪个国家/地区启动。如果设备位于俄罗斯境外或仿真环境那么应用程序将会显示如下页面：

对于本文分析的样本，木马的日志包含一些俄语记录但存在语法错误和拼写错误：

如果检查通过，Rotexy将向GCM注册并启动SuperService以跟踪其是否具有设备管理员权限。SuperService还会跟踪自己的状态如果被停止运行，则重新启动特权检查会每秒钟执行一次， 如果没有被授予设备管理员权限Rotexy则向用户反复不断地发出请求：

如果用户同意并授予应用程序所请求的权限，那么它则会显示另一个页面并隐藏自己的图标：

如果Rotexy检测到试图撤销其管理员权限的尝试，那么它则会关闭手机屏幕以阻止用户嘚操作。如果权限被成功撤销那么Rotexy则会重新启动，并重新向用户反复不断地发出授予管理员权限的请求

在某些情况下，当Rotexy检测到试图撤销其管理员权限的尝试时SuperService不会关闭屏幕，而是会试图警告用户：

在运行时Rotexy会跟踪以下内容：

• 其运行的终止-对于本文分析的样本，它將重新启动；
• 通过应用程序发送短信-对于本文分析的样本手机将会切换到静音模式。

默认的C&C服务器地址硬编码在Rotexy的代码中：

Rotexy使用伪随机數算法来生成相对地址并将信息发送到该地址。对于某些Rotexy版本而言它们还可以使用动态生成的子域名。

另一方面Rotexy将与C&C服务器有关的信息以及从受感染设备收集的数据存储在本地的SQLite数据库中。

首先Rotexy会在管理面板中注册，并从C&C服务器接收操作所需的信息（即短信拦截规則和将在HTML页面上显示的文本）：

Rotexy会拦截所有传入的短信并根据从C&C服务器收到的规则来处理它们。此外当收到短信时，Rotexy会将手机设置为靜音模式并关闭屏幕以便用户不会注意到已收到的短信。在需要时Rotexy还会将拦截的短信发送到指定的电话号码（在拦截规则中指定是否必须发送回复信息，以及应将哪个文本发送到哪个地址）如果Rotexy没有收到有关如何处理短信的规则，则只会将所有短信保存到本地数据库并将它们上传到C&C服务器。

除了有关受感染设备的一般信息之外Rotexy还会将所有正在运行的进程和已安装的应用程序的列表发送给C&C服务器。攻击者可能会使用该列表来查找正在运行的防病毒或银行应用程序

Rotexy在收到相应的命令后会执行进一步的操作：

• MESSAGE-将包含特定文本的短信发送到指定号码。
• UNBLOCK -取消对手机的锁定（撤消应用程序中的设备管理员权限）
• UPDATE-从C&C服务器下载并安装APK文件。该命令不仅可用来更新应用程序還可以用来在受感染设备上安装任何其他软件。
• CONTACTS-将从C&C服务器收到的文本发送给受感染设备上的所有联系人这很可能是Rotexy的一种传播方式。
• CONTACTS_PRO -從地址簿中请求与某个联系人所对应的特定消息文本
• ALLMSG-向C&C服务器发送用户收到和发送的所有短信，也包括存储在手机内存中的所有短信
• ONLINE-將有关木马当前状态的信息发送给C&C服务器，如是否具有设备管理员权限、当前显示的HTML页面、屏幕处于打开还是关闭状态等
• NEWMSG-将短信写入设備存储器，其中包含从C&C服务器发送的文本和发件人号码

Rotexy的C&C服务器不仅可以由Web服务器来担任，还可以由任何可以发送短信的设备来担任Rote會拦截所有传入的短信，并可以从这些短信中接收以下命令：

• “3458” -撤消应用程序的设备管理员权限；
• “hi”, “ask”-启用、禁用移动互联网；
• “393838” -将C&C服务器地址更改为短信中指定的地址

与Rotexy所执行操作相关的信息均记录在本地数据库中，并会发送到C&C服务器随后，服务器会返回响應数据其中包含有关下一步将要执行的操作的说明。

现在让我们来看看Rotexy会显示的HTML页面，以及它会使用这些页面执行哪些操作

1、Rotexy会显礻一个虚假的HTML更新页面（update.html），它会占用设备的屏幕很长一段时间

2、Rotexy会显示一个勒索页面（extortionist.html），并要求用户支付勒索赎金以解除对设备的鎖定

3、Rotexy会显示一个网络钓鱼页面（bank.html），提示用户输入银行卡详细信息该页面伪装成合法的银行页面，并占用设备屏幕直到用户输入所有信息为止。Rotexy甚至拥有自己的软键盘以示可以保护用户不会受到键盘记录器的侵害。

在{text}标记的区域中Rotexy会显示它从C&C服务器接收到的文夲。通常这是一条消息，声称用户收到了一笔汇款但必须输入银行卡详细信息，才能将钱转移到他们的帐户中

随后，Rotexy会检查用户输叺的数据以及根据C&C服务器命令中发送的数据来检查银行卡号的最后四位数字。具体可能会涉及以下这种情况：根据收到的短信处理规则Rotexy会拦截来自银行的短信，该短信包含与用户电话号码绑定的银行卡的最后四位数字Rotexy会将这些数字发送给C&C服务器，C&C服务器则会返回命令以显示用来检查这四位数字的虚假输入窗口。如果用户提供的是另一张银行卡的信息则会显示以下窗口：

图中显示的消息大致可翻译為“您输入的银行卡不正确，请输入尾号为1234的银行卡”

由于应用程序没有提供其他的选项因此用户似乎只能输入正确的卡号。事实上Rotexy嘚这一行为就是为了将用户输入的卡号与攻击者之前接收到的银行卡信息进行核对。

当所有银行卡信息被输入并通过检查之后Rotexy会将它们铨都上传到C&C服务器。

在这里卡巴斯基实验室给我们带来了一个好消息——Rotexy并不具备一个设计精良的模块，用来处理包含在短信中命令 這意味着在某些情况下，当手机被上述HTML页面锁定时解除锁定状态是可能的。首先我们需要发送短信“3458”到受感染设备，这将撤销Rotexy的设備管理员权限然后，我们还需要通过短信将文本“stop_blocker”发送到相同的号码这将禁止设备显示勒索HTML页面。不过Rotexy可能会再次向用户反复不斷地发出授予设备管理员权限的请求。在这种情况下请以安全模式重启设备并删除恶意应用程序。

但是如果攻击者能够对尝试删除Rotexy的荇为做出快速响应，那么上述方法可能无法奏效在这种情况下，你首先需要通过短信将文本“393838”发送到受感染设备然后重复上述操作。这条短信会将C&C服务器地址更改为“://”这样一来手机将不再接收来自实际C&C服务器的命令。

请注意这些解锁指令只适用于当前版本的Rotexy，洏在Rotexy的后续版本中这些命令集可能会发生变化。

Rotexy攻击的地理位置分布

根据卡巴斯基实验室的数据98%的Rotexy攻击针对的都是位于俄罗斯的用户。实际上这个木马明确针对的就是以俄语为母语的用户。除此之外位于乌克兰、德国、土耳其和其他几个国家的用户也受到了影响。

为了高效利用笔记本纤薄的空间设计师们想出了无数种办法，例如二合一、双面屏、折叠键盘但都永远没有经典笔记本造型来的实用。为了码字手感物理键盘不能動，而翻盖造型基本固定重任似乎就只能交到触控板上。在加大、加宽、提升手感之后华硕终于给触控板塞了一块屏幕。你没有看错这一次，我们说的是触控板带屏幕的笔记本

而这要归功于华硕灵耀系列。在历经数代变革之后华硕早已让灵耀在轻薄、性能与新技術之间找到了平衡点，相同重量和尺寸下灵耀总能凭借性能和创意排在选择的第一阵营，全新的灵耀X Pro同样是这个例子

虽说曾经有厂商鼡手机来替代触控板的位置来实现上下双屏，但想用手机处理器来担当PS、LR、视频剪辑大任根本不靠谱灵耀X Pro最厉害的地方在于，触控板屏幕并非一套独立的系统而是基于，能够与Word、PowerPoint、Excel定制化互动并且应用均来自ASUS GiftBox或者Windows Store。

用更简洁的语言来说这块名为ScreenPad的触控板屏幕即使不昰微软亲儿子，但仍然与Windows 10完美兼容从触控板顶端向下滑动，唤出的工具栏中已经包含了触控板的几个基本应用包括音乐、日历、计算器、模拟数字键、程序启动、设置等多种界面。如果不是专门唤出工具栏这款屏幕触控板功能与普通触控板没有任何区别。

一开始我们還担心触控板承载了太多功能之后响应速度和操控舒适度会降低但实际体验下来触控板无论是控制鼠标移动还是点击，响应与普通触控板没有丝毫区别而敲击回馈本身也干净利落，再加上畅快的玻璃面板就算没有屏幕加持，ScreenPad本身表现也相当良好

回到正题。无论是通過ScreenPad还是开始菜单中召唤Word、PowerPoint还是Excel触控板都会快速切换到相应模式。以Word为例最常用字体、颜色、背景色调整放在顶端右侧，而保存、功能區隐藏、调用数字键盘最常用的功能操作同时背景也变成白色，给手指移动空间

而且完全不必担心功能栏会阻碍触控板的使用体验，5.5渶寸的空间足够手指畅快游弋当然，如果你不习惯把功能移动到触控板上也可以点击触控板右上角的X关闭，亦或者点击左上角的应用程序图标再次将功能激活

即使不跟应用程序互动，触控板也能够独立运行一部分程序例如它自带了独立的计算器、音乐播放器和日历，其中音乐播放器还能够自动调用Windows 10音乐库的内容日历同样也能与Windows 10中的日历日程同步，更感人的是不需要额外设置

因此你可以把触控板看成主屏幕外的第二个屏幕，而华硕也开放了SDK欢迎更多的开发者加入其中。对于普通用户而言也不需要鼓捣任何额外的设置，相对应嘚应用会在使用的时候弹出额外的扩展功能甚至还可以在Windows Store中，通过ScreenPad关键词获得对于新生事物而言，灵耀X Pro触控板表现已经足够好

在随後的升级中，触控板还会加入扩展显示手机信息同步的新功能。随着时间越久灵耀X Pro这块触控板的玩法会变得更为丰富。

如果说带屏幕觸控板让灵耀X Pro的创新性向前大跨步那么性能则一定是围观同学拍板下单的决定性理由。容纳下15.6英寸屏幕的灵耀X Pro没有半点含糊配置直奔數个月前刚发布的第八代酷睿i7-8750H移动版标压处理器，拥有6核12线程最高频率达到3.9GHz。

为了弥补核显UHD 630核显性能华硕给灵耀X Pro独显选用了GeForce GTX 1050 4GB GDDR5独显，内存最高可以达到16GB DDR4 2400MHz硬盘则最高选配512G M.2 固态硬盘，这意味着就算是移动中剪辑视频照样毫无压力

这也意味着，只要画质设置合理利用灵耀X Pro茬工作之余小战几把3A大作仍然毫无压力。只可惜目前尚无游戏能够支持灵耀X Pro的触控板屏幕不然如果能将其当成一个15.6英寸屏幕的NDS来玩耍，恐怕会让任天堂粉丝们羡慕不已

在全速运行下，灵耀X Pro的双风扇会高速运行再加上多热管加持，笔记本C面即使在高负荷运行一段时间之後掌托、键盘、触控板仍然不会感受到明显热感。通过线温度检测仪可以看到温度大部分集中在空格键附近，但温度不算太高对日瑺工作不会造成任何困扰。

同样笔记本D面的最热主要集中在后端，很大一部分原因在于出风口正好隐藏在显示器下端D面后端则仍然可鉯保证凉爽状态。

虽说是双风扇全速运作但华硕将灵耀X Pro的噪音控制得非常理想。全负荷运作的状态下笔记本最高噪音也仅控制在46.9分贝，要知道空调正常风扇转速下噪音也已经55分贝以上在办公室内使用灵耀X Pro，全负荷运作时风扇产生的噪声完全可以忽略

与此同时，灵耀X Pro嘚电池容量达到了71Wh150W功率的电源则为机器的性能提供了保障。

如果只是低负载的浏览网页、进行文字工作笔记本大概能够坚持8小时左右嘚工作时间，与官方宣称的9.5小时相当当然，如果全负荷运作PCMark 8 Creative Acclerated给出的结果为2个半小时左右，对于一台同时拥有6核12线程标压移动处理器和GeForce GTX 1050 Ti筆记本而言这样的表现已经足够。

在当下旗舰轻薄本如果不想着法子缩小体积，都不好意思出门与别人打招呼灵耀X Pro用上了7.3mm NanoEdge边框设计讓15.6英寸屏幕最终塞进了将近14英寸机型的机身中。虽然不能像XPS系列那样三边框极限走位但至少摄像头位置不尴尬，摄像头位于仍然能位于屏幕上方以应付视频会议需求。

屏幕则是灵耀X Pro另一个卖点华硕专门针对屏幕进行了颜色调教最终并获得了潘通认证。根据官方的说法sRGB覆盖不仅达到了100%，色彩精准程度也达到了Delta E 《 3要知道Delta E（Δ E）色彩偏离度作为一个通用标准，经常被用来检验专业显示器且数值越小越恏。通常而言只要在3.2以下，人类肉眼其实是分辨不出色彩之间差距的可想而知灵耀X Pro对屏幕下了多大功夫。

并且这款屏占比达到83%的屏幕同样使用了防眩光面板，达到了72%NTSC 分辨率与触控板屏幕分辨率相同，同样为为之后两块屏幕之间的同分辨率APP互动奠定了基础。

现在华碩不仅将一块专业级的屏幕塞进了笔记本里再加上约20mm的厚度，1.9kg的机身重量以及金属质感浓厚的外观设计。就算是妹子单手将其带走吔根本没有压力。更何况灵耀X Pro本身对金属切削的要求很高圆润的机身从携带，放下单手翻开屏幕都可以流畅的一气呵成，表现出了旗艦笔记本应有的素质

而螺旋条纹金属美学之下则仍然是黑金配色的1.4mm分岛式键盘，独立指纹识别按钮以及藏在机身内部，支持哈曼卡顿喑效的W扬声器老实说每次让灵耀X Pro开足音量，声音的响度带来的冲击力不是一般便携本所能比拟并且在最大响度下也不会出现破音的情況，声音浑厚到如同独立小音箱因此工作之余让灵耀X Pro充当影音播放设备并不过分。

足够大的机身同样也为接口留足了空间在机身左侧配备了2个支持雷电3的 接口，再加上1个接口和触控板本身灵耀X Pro最多可以获得5个屏幕。并且2个雷电3接口与PCIe x2直通速率高达40Gbps。这意味着如果有┅天对自己随机的显卡不满意还能通过雷电3接口外接诸如ASUS XG Station Pro显卡坞，以此获得更好的游戏体验

同样，考虑到对现有设备的兼容性灵耀X Pro並没有丧心病狂的全面拥抱Type-C，机身左侧仍然留给了2个USB 3.1 Gen 1 Type-A耳机插孔和1个MircroSD卡槽。需要注意的是自带的150W输出功率电源电源使用的是传统的圆口電源插口而非时下流行的Type-C接口充电，就算使用Type-C电源为其充电灵耀X Pro也不会有反应的。

笔记本配置大规模同质化已经是不争的事实出于对內存、TDP的限制，同等价格、外形之下难免让用户在下手之前犹豫在不同品牌之间但华硕灵耀X Pro似乎是个特例，它不仅具备独立显卡、第八玳移动标压版酷睿和高达512GB M.2 SSD2个雷电3接口和对USB Type-A乃至HDMI接口的良好兼容让其足够应付工作环境中的各种使用场景。

更重要的是华硕灵耀X Pro还拥有┅块ScreenPad触控板，不需要任何额外设置到手即用，与主流工作软件兼容并拥有无限可能的玩法，完全成为了配置、外形之外的加分项有意思的是，在今年Computex2018上华硕还推出了完全双屏幕的PROJECT PRECOG概念笔记本，也在随后的发布会中提出了类似概念的 PC双屏幕操控似乎会变成未来笔记夲的发展趋势之一，而华硕灵耀X Pro则早已坚定不移的迈出了第一步