你的手机屏幕上莫名弹出一则广告,当点击关闭按钮时,广告并没有被关闭,反而进入广告页面。上面一幕是许许多多手机用户都曾遇到过的情景,也许一开始你还未曾在意,但不久后你会发现,手机不仅耗电快,流量似乎跑得比以往更多……这时你可能还不曾想到——你的手机已经中病毒了。
从去年开始,一种名为悍马(Hummer)的病毒“席卷”全球,一年时间内感染8500多万部手机,引起安全公司的高度关注。前不久,以色列安全解决方案供应商Check Point与猎豹移动安全分别出具分析报告,对病毒与背后的控制者来了一次大起底。
8500万台被掌控的手机
猎豹移动安全实验室于7月发布了《“中国”制造:悍马(Hummer)病毒家族技术分析报告》,报告显示,悍马病毒今年平均日活量达119万,成为全球排名第一的手机病毒。“初次感染病毒的路径有很多种,我们观察到的是,用户通过一些色情网站、App、不明来源广告等感染。”猎豹移动安全工程师李铁军对《IT时报》记者说道。
中毒之后,手机会频繁弹出广告,推广手机游戏,甚至在后台静默安装色情应用,并繁衍病毒。猎豹移动安全实验室介绍:“许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。”而且,专业检测发现,手机在安装悍马病毒App后的几小时内,访问网络链接数万次,消耗网络流量高达2GB,下载Apk超200个。根据CheckPoint预计,HummingBad每天都会推2000万广告内容,安装超过5万个欺诈应用。
其背后的公司通过广告点击量与应用安装进行收费,根据Check Point估算,恶意软件每天从广告点击获取超过3000美元的收益,而诈骗应用的安装则能获取7500美元收益。换算下来,一个月30万美元(200万人民币)左右。
李铁军表示:“该病毒已经获取root权限,所以它可以完全控制手机,几乎不受任何限制。且病毒已经深深地植入系统当中,就算用户‘恢复出厂设置’,也根本无法清除病毒。”
在悍马广泛传播的20多个国家和地区中,大部分在亚洲。“印度、印尼等国家与中国一样,同属于发展中国家,网民的上网安全意识和安全习惯较欧美国家弱,因此容易中招。”目前印度流行的十大手机病毒里,有3种来自悍马病毒家族。
看似“巧合”的对赌与病毒蔓延时机
通过获取手机root权限进行广告游戏推广安装的病毒并不少见,令李铁军感到困惑的是,为什么悍马病毒感染量会这么大?“感染量越大,被拦截的可能性就越大,这样太容易引起安全公司的注意。”李铁军说道,一般只为谋利的公司,会将感染量控制在一定范围内。2015年5月之前,悍马病毒感染量一直处于几万台的稳定水平,但在此后开始激增。
悍马病毒的控制者是谁?这个时间点有何特殊意义?随着调查的深入,猎豹移动与Check Point均认为,中国公司微赢互动就是站在悍马病毒背后的人。微赢互动是一家移动互联网广告平台服务提供商,于2015年6月,被明家科技收购。
明家科技(2016年3月更名为明家联合移动科技)是一家上市公司,6月在斥资10亿收购微赢互动的同时,与其签订一份对赌协议,微赢互动承诺2015年至2017年,公司扣除非经常性损益后净利润分别不低于7150万元、9330万元和12000万元。而根据明家科技去年6月公布的《北京微赢互动科技有限公司审计报告》,微赢互动在2013年、2014年归属于母公司所有者的净利润分别为827.19万元、4248.48万元。这要求微赢互动的利润在2014年的基础上分别提高68%、119%和182%。
协议显示,如果微赢互动未能实现承诺净利润,则李佳宇、张翔、陈阳等微赢股东应对上市公司支付补偿;若承诺期内微赢互动累计实际实现的净利润总和超出承诺,各方同意将超出部分的40%奖励给微赢互动的经营管理团队。
上述看似很高的利润指标,对微赢互动而言,难度似乎并不大。明家科技2015年度财报披露,微赢互动当年营业收入翻番,归属于母公司所有者的净利润7585万元,超过约定的7150万。同样截止到2015年底,悍马病毒的数量已经由年初仅几万台的水平,达到120万台,今年3月达到峰值150万台。
不过,“在遭到曝光后,病毒活动已经停止。” 李铁军说道。
被隐藏的痕迹
在猎豹7月7日发布报告后,明家联合7月9日发布声明称,微赢互动从未制作或传播或使用过HummingBad恶意代码,该代码更新、发回报告等运营方式涉及的cscs100.com等12个域名并非微赢互动所有;微赢互动从未制作或传播或使用过Hummer恶意代码,该代码涉及的两个域名hummermobi.com和hummeroffers.com已于2015年11月11日转出,此后该域名持有人并非公司或公司员工。
在明确提供病毒下载与更新的域名中,有一个域名为haoyiapi.com。根据猎豹移动安全实验室6月的whois查询,此域名对应的注册邮箱为13590333@qq.com,申请人为chenyang。通过此邮箱后在微博搜索,可以对应到微博用户Iadpush陈阳,在个人简介里,陈阳自称“iadpush cto”,而iadpush就是微赢互动旗下的子公司。
同时,通过全国企业信用系统查询显示,上海昂真科技有限公司2016年2月变更前的法定代表人为陈阳。病毒域名的hummermobi.com和hummeroffers.com所有者同为上海昂真科技有限公司。
《IT时报》记者发现,目前haoyiapi.com域名已经隐藏注册邮箱与申请人信息。由此已经很难再证明悍马病毒与微赢互动的关系。
记者手记
一个庞大又繁荣的地下黑产
手机病毒发展太快了。
2015年,猎豹移动检测到的病毒木马样本超过959万,是2014年的三倍多。并非每一个病毒都能受到像悍马这样深入分析的“待遇”。大部分的情况,发现病毒后,放入病毒库,查杀即可。只有碰到体量大、典型性的病毒才会挑出来进行分析。但并非每一次的都如悍马一帆风顺。“去年,我们就追过与悍马类似的病毒,但查到深圳、珠海以后,因病毒主要在国外传播,无法继续深入下去。”
在记者调查中了解到,像这样利用手机病毒推广软件、增加广告点击量的方式已经成为常态。去年流行的两大病毒Ghost Push和KK插件病毒,套路相似度很高。病毒不仅通过Google Play、第三方市场和网络联盟等多种方式获取用户,感染用户手机后会弹出游戏、广告等,借以赚取利润,其主要危害地区均来自海外,“做病毒的容易销毁证据,中国网络执法比较难。”李铁军表示,由于违法成本低,收益大,这类病毒控制者常常都位于中国。
猎豹移动2015年报告中就已表明,这类手机病毒的产生和传播过程多环节配合精密,形成了初步的产业化格局。这些控制者通常以建立移动广告公司为掩护,有的甚至获得了风险投资。“即使被曝光,这些团队会隐姓埋名重操旧业,由于高利润,做过黑产的人,不会老老实实赚辛苦钱。”李铁军说道。
安卓手机病毒的生态环境,这是一个庞大又繁荣的地下黑产。
====================================分割线================================
本文转自d1net(转载)