7月7日消息,今日,猎豹移动安全实验室发布安全警告:某中国企业制造了感染量全球第一的安卓手机病毒,根据病毒传播主服务器信息,将其命名为悍马(Hummer)。
报告介:今年以来,悍马病毒全球日活峰值超140万,中国受害手机每天超过6.3万。有充分证据表明,该病毒家族与A股上市公司明家联合(证券代码:300242)旗下的广告公司——微赢互动有关。
此前,有媒体报道称,以色列安全软件科技公司Check Point也发现该基于Android系统的安全隐患。在一份报告中,Check Point的威胁防御团队指出,一个Android手机操作系统的恶意软件正在威胁全球8500万台设备。这个恶意软件的幕后推手,是一家中国数字广告公司微赢互动(YingMob)。
业内人士指出,悍马病毒(Hummer)是有史以来感染数量最大的手机病毒,在全球感染了数以百万计的安卓手机(以色列CheckPoint公司估计其全球感染量超8500万),以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
悍马病毒感染之后,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装众多软件或其他病毒,中毒手机用户会损失大量手机流量费。由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置也不能摆脱病毒困扰。
追踪病毒源头
通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入hummeroffers.com等12个域名用于病毒更新和推广指令下发。
在病毒域名的whois信息中,有两个是商业广告公司的网站: hummermobi和hummeroffers,注册人是“chenyang” 。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。
查询工商注册资料可知,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。
注册这些域名使用的邮箱,被发现用于新浪微博,账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。在搜索引擎帮助下,很容易查到IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。
根据已公开的上市公司资料查询,陈阳是微赢互动公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约为1.5亿元。
经过对病毒代码中留下相关线索,猎豹移动安全专家在SaidourceForge.net发现悍马病毒制造者员工建立的账号,(注:SourceForge是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。)该账号上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。
猎豹移动追踪到与McVivi_Vip相关的某网盘,其中有大量关于该公司制作恶意程序的内部文档。
至此,病毒制造者的线索,均指向上市公司明家联合的全资子公司微赢互动。
悍马(Hummer)病毒感染量全球第一
据猎豹移动安全实验室监测数据,2016年1月至今,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。
悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4。下图是悍马病毒全球感染最严重的前25个国家。
印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。
这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。
中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。
====================================分割线================================
本文转自d1net(转载)