中国广告公司恶意感染8500万台手机:月赚200万

安全机构Check Point最近发布了一份非常详细的报告,谈到一款名为HummingBad的Android恶意程序。

它在行为方式上和先前一些相当霸道的Android恶意程序类似,不过它有几大亮点:其一背后操纵者来自中国重庆(注意下面还有地址哦…);其二其感染范围极为广泛,估计已经感染了8500万台设备。

  HummingBad的实例增长

HummingBad幕后团队大曝光

Check Point在报告中将这款Android恶意程序称作HummingBad。这款恶意程序的作者是国内的一家广告公司,名叫微赢互动(Yingmob!这下火了!)。

Check Point在报告中毫不留情地揭露了这家公司的一些细节信息。

  连工位都有啊!

据说微赢互动内部还是有好几个团队在开发合法追踪和广告平台的,而负责开发像HummingBad这样恶意产品的团队名为“海外平台开发团队”,这个团队内部有4个小组,共25名成员。

该团队有三个开发项目,分别是Eomobi(就是HummingBad恶意组件产品)、Hummer Offers(广告服务器分析平台)、Hummer启动器(这实际上是个广告服务Android应用开发包),共开发6条产品线:

1、Ebomi

2、Hummer启动器

3、Root软件开发套装(SDK)

4、Hummer Offers

5、MAT

6、Unitemobi

这家公司其实算不上恶意程序的新人。早在2015年的时候,Palo Alto曾经发布过一款iOS恶意程序YiSpecter的报告。当时Palo Alto就认为YiSpecter应该与微赢互动有关,因为这款恶意程序签名就是微赢企业证书。

Check Point这次的报告则提到HummingBad和YiSpecter相比,有着相同的C&C服务器地址,行为方式也很相似。另外HummingBad内部还包含QVOD快播文档(Check Point直接将之称作iOS色情播放器,泪奔…),这其实跟Yispecter也有关联。

HummingBad的目标当然是赚钱!

CheckPoint估计,HummingBad每天都会推2000万广告内容,其点击率大约为12.5%,也就是说每天的广告点击量约为250万次。此外,HummingBad每天还安装超过50000个欺诈应用。

估计微赢互动每天光从广告点击就能获取超过3000美元的收益,而诈骗应用的安装则能获取7500美元/天。换算下来一个月就是30万美元,一年则为360万美元。

当前HummingBad已经感染了8500万台Android设备。不止于此,由于这款恶意程序会非法对Android设备进行Root操作,实现各类恶意程序的推送,这些设备几乎就是被彻底掌控的。

这些设备上的数据风险自不必多说,将它们组成僵尸网络,发起攻击,或者将这些访问权限卖到黑市,都全然不在话下。

微赢互动用他们自家的Umeng服务来追踪HummingBad的感染情况(专业!)。从Umeng的控制面板来看,这家公司“注册”了近200款应用,预计其中25%都是恶意程序,用于分发HummingBad恶意程序。

上面这张图也来自Umeng的统计,从去年8月份开始,其活跃性成长表现还是相当不错的。

从HummingBad当前影响的国家地区来看,这款恶意程序当前应该算是个跨国恶意程序,虽然主要感染地区还是在中国和印度,其他各国的感染数量也是相当可观的。

恶意行为分析

这次的报告中提到,HummingBad首次感染方法应该是隐藏下载攻击(drive-by download),部分成人内容站点也提供了相应的恶意payload。

而HummingBad本身包含了两个主要组成部分,其中一个组件负责对Android设备进行Root操作,Rootkit会考虑利用多种不同的漏洞。Root成功后,攻击者就能完全获取设备的访问权限。

如果Root失败,第二套组件就会生成一个欺骗性的系统升级通知,欺骗用户让HummingBad获取系统级权限(Root还是关键呀!)。

无论Root是否成功,HummingBad都会尽可能下载大量欺诈应用。

  模拟点击的代码

整套HummingBad包含好几个恶意组件。首要的组件名为SSP,其作用是显示非法广告、安装欺诈应用。

该组件通过4个事件触发:设备启动、屏幕开启/关闭、设备连接任意变化、用户检测(听说过Android系统中的Receiver吗?这类行为其实是完全合法的)。

触发过后,SSP开启名为Se的服务,初始化恶意逻辑,并且开启广告网络。SSP还会开启计时器,每10秒钟计划一次LockTask,如果满足相应条件(比如互联网连接、从服务器获取到设置,时间延迟等),LockTask就会重启Se服务,并且启动MainActivity进程,激活恶意payload。

MainActivity进程开始之后,恶意程序会显示广告banner,广告上面会有个关闭按钮。实际上恶意程序会阻止用户回到Home页,或者是进行返回操作,这样用户就只能点击该广告了。

用户点击所谓的“关闭”按钮,实际上也是点击一次广告操作。在点击广告之后,SSP组件就会向服务器发出请求,给APK返回一个链接,SSP随后再从服务器下载该APK文件(就是Android安装文件嘛)。

  那个“关闭”按钮相关代码

APK文件下载完成后,恶意应用会检查设备是否已经Root。如果已经Root,则默默地安装下载的APK文件;如果没有Root的话,SSP会弹出用户对话框,仍旧企图进行安装操作。

下载的APK文件安装完成后,SSP再启动该程序,并且广播INSTALL_BEFERRER,通过从服务器获取到的信息来伪造Google Play的安装,并从广告网络中获取广告收益(难道这不是仅针对国际用户的么?)。

作为一个合格的恶意程序,肯定还要获取更新、发回报告。SSP会从某JSON文件检索C&C域名。这里的JSON文件是从d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下载的,值大概是这样的:

·{"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}

·{"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}

·{"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think

·{"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused

·{"id":7,"name":"1","master":"1","slave":"1"} //and this

·{"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}

·{"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}

·{"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}

·{"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":14,"name":"易盟-启弹","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}

·{"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}

·{"id":18,"name":"1mob-xin(点滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

除此之外,SSP还有一些行为,比如具体的Google Play进程注入(SSP能够向Google Play进程注入一个库,恶意程序也就能够伪装Google Play商店中安装、购买、接受点击操作;这里用到的是比较知名的ptrace,SSP能够用ptrace来调用控制其他应用,读取、写入内存等操作);还有RightCore恶意组件,其实应该算是SSP的一个早期版本;CAP组件采用比较复杂的技术负责安装欺诈应用,实现欺骗IMEI码注入,执行Google Play的点击模拟操作等等。

对这些感兴趣的同学可以点击这里,查看Check Point提供的详情。

在Check Point看来,微赢互动可能是首个曝光到大众面前、如此高度组织化推恶意程序的团队。

或许这种趋势未来还会持续,引来其他团队的学习,实现复杂攻击的独立化运营,甚至将这样掌控僵尸网络的权限,提供给某些组织或政府机关,情况就更加复杂了。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-11-03 04:02:51

中国广告公司恶意感染8500万台手机:月赚200万的相关文章

“斐贝国际”涉嫌传销称钻石卡会员月赚200万

(中国电子商务研究中心讯)作为电子商务创新模式的代表,"斐贝国际"曾荣获"2010CCTV中国年度品牌".获奖的背后,对"斐贝国际"涉嫌传销的质疑也纷至沓来.近日,济南斐贝国际的三星级店长,同时也是斐贝国际专业产品供应商斐梵国际金卡会员的商红(化名)向本报爆料,反映斐贝国际内部情况.斐贝国际到底是一个怎样的电子商务创新模式?连日来,记者对此走访调查."只有不断拉人才能赚钱"商红的"斐贝国际"网上商城及&qu

调查称iPhone 5s五月销量700万台 超三星S5 200万

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 凤凰科技讯 北京时间7月17日消息,据路透社报道,三星电子近来可谓两面受敌,市场份额不断被蚕食,一方面中国竞争对手凭借价格优势咄咄逼人,高端市场也在苹果iPhone的打压下显得前景不容乐观. 市研机构Counterpoint最新调查显示,iPhone 5s五月份全球销量达700万台,超过三星旗舰机型Galaxy S5 的500万台.更为重要的

50万炒大蒜半年赚200万游资围猎农产品

哈哈!这玩意现在很值钱,但是--分析师提醒,游资后续炒作(农产品)空间不大.图为美国加州,85岁的特里收获大蒜.IC供图 最近两个多月,某黄金公司实物金销量较去年同期增加了40%- 50%.该公司总裁透露,其一些温州朋友从楼市退出后,转而将资金投资黄金.CFP供图 炒楼资金撤出楼市掘金地之后,围猎疯狂的"大蒜们"和"大牛"的黄金 游资通过金融工具,渗透到农产品产业链上.从包地到流通环节,游资均有介入.除了大蒜,生姜.辣椒.绿豆也是投资客的炒作对象. "炒房

618天猫平均每小时卖出5万台手机

6月18日消息,据了解,截至上午10时天猫电器城手机类目已卖出50万台手机,平均每小时卖出5万台.这一数字已经超出了中国智能手机日销量的半数. 市场研究机构GFK最新发布的报告显示,2013年中国手机市场零售量4.08亿部,其中智能手机零售量达3.5亿部,相当于日均96万台.目前天猫电器城10小时50万台的销量已经超过中国所有线上线下零售渠道智能手机日均销量的半数份额. 当天,天猫电器城发起"全网底价"的促销,据介绍998元的华为荣耀畅玩版.小米1S手机以及富士康代工售价499元的富可

天猫61一天8100多万台手机全部售罄,刷新行业销售记录

新浪科技讯 6月18日晚间消息 天猫官方数据显示,天猫商城今日在24小时不到的时间里,100多万台手机全部售罄.这意味着,中国手机行业的一项新纪录诞生. 市场研究公司Canalys的最新数据显示,2014年第一季度全球智能手机出货量为2.794亿部,中国占比高达35%,相当于日均销售100万台左右.也就是说,天猫用了1天不到的时间,销售了全国所有渠道一天智能手机销售量的总和. 今日是天猫年中大促重要环节,天猫旗下3C数码平台天猫电器城发起手机行业规模最大的一次活动.苹果.小米.三星.中兴.华为.

雷军:6个月卖2611万台手机 还有谁?

小米今日举行年度发布会,在会上雷军公布了旗下手机的销售状况:小米1系列销量为790万台,小米2系列销量为1740万台,小米3销量为1050万台,红米销量为1800万台,红米Note销量为356万台. 本月初,雷军在微博上称,小米在3721.html">2014年前6个月共销售2611万台手机,同比增长271%:含税销售额约330亿,同比增长149%. 而今年3月底,雷军预计2015年小米能卖出1亿台,销售额有机会过千亿元.

雷军微博晒小米双11销量:85万台手机/12亿元

截止中午11点56分,小米天猫旗舰店在双11旗舰的交易额超过10亿元,完成了此前预定的目标.而在短短两个小时之后,新的记录又诞生了. 雷军刚刚在微博上表示,截止下午两点钟左右,小米天猫旗舰店销售额已经突破12亿元.具体到产品方面,目前共售出手机853233台,路由器67002个.而稍早时候,小米总裁林斌公布了截止11点56分小米具体的单品成绩.从图片来看,小米4两个版本的销量分别是11万和14万台,红米1S接近28万台,红米Note则超过14万台,总计超过70万台.其它产品方面,小米电视售出25

小米:上半年已卖2611万台手机

近日,http://www.aliyun.com/zixun/aggregation/837.html">雷军在微博上发布了小米上半年销售数据.雷军表示,小米在3721.html">2014年前6个月共销售2611万台手机,同比增长271%:含税销售额约330亿,同比增长149%. 去年12月31日,雷军内部信称,2013年小米总计售出了1870万台手机:含税收入316亿元.2014年小米的首要任务就是提升产能,向所有用户承诺今年至少供货4000万台手机. 而在今年3月底,

“919乐迷节”当天乐视商城超级电视销量10万台,配件超4万件

总销售金额4亿元,总参与人次超800万.超级电视创中国电视行业单日销售量.销售额纪录,乐视商城创中国B2C商城单日单品牌电视销售量.销售额纪录.乐视商城是智能硬件第一电商平台,基于乐迷兴趣及乐视生态的社会化电商平台,中国十大B2C电商网站.与传统渠道性电商不同,乐视TV坚持按BOM定价,采用CP2C的模式实现厂商合一,做到砍掉营销成本.渠道成本和不合理的品牌溢价,全流程直达用户,开创基于产业链垂直整合的"人人电商"模式.乐视以互联网模式重新定义电视,超级电视不仅是台电视,更是全球唯一的