手機病毒肆虐：惡意軟體每天擷取超3000美元收益

究竟什麼病毒輕而易舉感染了全球8500萬部手機？

僞裝廣告公司，利用手機病毒推廣app、增加廣告點選量

你的手機螢幕上莫名彈出一則廣告，當點選關閉按鈕時，廣告并沒有被關閉，反而進入廣告頁面。上面一幕是許許多多手機使用者都曾遇到過的情景，也許一開始你還未曾在意，但不久後你會發現，手機不僅耗電快，流量似乎跑得比以往更多……這時你可能還不曾想到——你的手機已經中病毒了。

從去年開始，一種名為悍馬(hummer)的病毒“席卷”全球，一年時間内感染8500多萬部手機，引起安全公司的高度關注。前不久，以色列安全解決方案供應商check point與獵豹移動安全分别出具分析報告，對病毒與背後的控制者來了一次大起底。

8500萬台被掌控的手機

獵豹移動安全實驗室于7月釋出了《“中國”制造：悍馬(hummer)病毒家族技術分析報告》，報告顯示，悍馬病毒今年平均日活量達119萬，成為全球排名第一的手機病毒。“初次感染病毒的路徑有很多種，我們觀察到的是，使用者通過一些色情網站、app、不明來源廣告等感染。”獵豹移動安全工程師李鐵軍對《it時報》記者說道。

中毒之後，手機會頻繁彈出廣告，推廣手機遊戲，甚至在背景靜默安裝色情應用，并繁衍病毒。獵豹移動安全實驗室介紹：“許多中毒使用者發現手機總是被莫名安裝很多軟體，解除安裝之後不久再次被安裝。”而且，專業檢測發現，手機在安裝悍馬病毒app後的幾小時内，通路網絡連結數萬次，消耗網絡流量高達2gb，下載下傳apk超200個。根據checkpoint預計，hummingbad每天都會推2000萬廣告内容，安裝超過5萬個欺詐應用。

其背後的公司通過廣告點選量與應用安裝進行收費，根據check point估算，惡意軟體每天從廣告點選擷取超過3000美元的收益，而詐騙應用的安裝則能擷取7500美元收益。換算下來，一個月30萬美元(200萬人民币)左右。

李鐵軍表示：“該病毒已經擷取root權限，是以它可以完全控制手機，幾乎不受任何限制。且病毒已經深深地植入系統當中，就算使用者‘恢複出廠設定’，也根本無法清除病毒。”

在悍馬廣泛傳播的20多個國家和地區中，大部分在亞洲。“印度、印尼等國家與中國一樣，同屬于開發中國家，網民的上網安全意識和安全習慣較歐美國家弱，是以容易中招。”目前印度流行的十大手機病毒裡，有3種來自悍馬病毒家族。

看似“巧合”的對賭與病毒蔓延時機

通過擷取手機root權限進行廣告遊戲推廣安裝的病毒并不少見，令李鐵軍感到困惑的是，為什麼悍馬病毒感染量會這麼大？“感染量越大，被攔截的可能性就越大，這樣太容易引起安全公司的注意。”李鐵軍說道，一般隻為謀利的公司，會将感染量控制在一定範圍内。2015年5月之前，悍馬病毒感染量一直處于幾萬台的穩定水準，但在此後開始激增。

悍馬病毒的控制者是誰？這個時間點有何特殊意義？随着調查的深入，獵豹移動與check point均認為，中國公司微赢互動就是站在悍馬病毒背後的人。微赢互動是一家移動網際網路廣告平台服務提供商，于2015年6月，被明家科技收購。

明家科技(2016年3月更名為明家聯合移動科技)是一家上市公司，6月在斥資10億收購微赢互動的同時，與其簽訂一份對賭協定，微赢互動承諾2015年至2017年，公司扣除非經常性損益後淨利潤分别不低于7150萬元、9330萬元和12000萬元。而根據明家科技去年6月公布的《北京微赢互動科技有限公司審計報告》，微赢互動在2013年、2014年歸屬于母公司所有者的淨利潤分别為827.19萬元、4248.48萬元。這要求微赢互動的利潤在2014年的基礎上分别提高68%、119%和182%。

協定顯示，如果微赢互動未能實作承諾淨利潤，則李佳宇、張翔、陳陽等微赢股東應對上市公司支付補償；若承諾期内微赢互動累計實際實作的淨利潤總和超出承諾，各方同意将超出部分的40%獎勵給微赢互動的經營管理團隊。

上述看似很高的利潤名額，對微赢互動而言，難度似乎并不大。明家科技2015年度财報披露，微赢互動當年營業收入翻番，歸屬于母公司所有者的淨利潤7585萬元，超過約定的7150萬。同樣截止到2015年底，悍馬病毒的數量已經由年初僅幾萬台的水準，達到120萬台，今年3月達到峰值150萬台。

不過，“在遭到曝光後，病毒活動已經停止。” 李鐵軍說道。

被隐藏的痕迹

在獵豹7月7日釋出報告後，明家聯合7月9日釋出聲明稱，微赢互動從未制作或傳播或使用過hummingbad惡意代碼，該代碼更新、發回報告等營運方式涉及的cscs100.com等12個域名并非微赢互動所有；微赢互動從未制作或傳播或使用過hummer惡意代碼，該代碼涉及的兩個域名 hummermobi.com和hummeroffers.com已于2015年11月11日轉出，此後該域名持有人并非公司或公司員工。

在明确提供病毒下載下傳與更新的域名中，有一個域名為haoyiapi.com。根據獵豹移動安全實驗室6月的whois查詢，此域名對應的注冊郵箱為[email protected]，申請人為chenyang。通過此郵箱後在微網誌搜尋，可以對應到微網誌使用者iadpush陳陽，在個人簡介裡，陳陽自稱“iadpush cto”，而iadpush就是微赢互動旗下的子公司。

同時，通過全國企業信用系統查詢顯示，上海昂真科技有限公司2016年2月變更前的法定代表人為陳陽。病毒域名的hummermobi.com和hummeroffers.com所有者同為上海昂真科技有限公司。

《it時報》記者發現，目前haoyiapi.com域名已經隐藏注冊郵箱與申請人資訊。由此已經很難再證明悍馬病毒與微赢互動的關系。

記者手記

一個龐大又繁榮的地下黑産

手機病毒發展太快了。

2015年，獵豹移動檢測到的病毒木馬樣本超過959萬，是2014年的三倍多。并非每一個病毒都能受到像悍馬這樣深入分析的“待遇”。大部分的情況，發現病毒後，放入病毒庫，清除即可。隻有碰到體量大、典型性的病毒才會挑出來進行分析。但并非每一次的都如悍馬一帆風順。“去年，我們就追過與悍馬類似的病毒，但查到深圳、珠海以後，因病毒主要在國外傳播，無法繼續深入下去。”

在記者調查中了解到，像這樣利用手機病毒推廣軟體、增加廣告點選量的方式已經成為常态。去年流行的兩大病毒ghost push和kk插件病毒，套路相似度很高。病毒不僅通過google play、第三方市場和網絡聯盟等多種方式擷取使用者，感染使用者手機後會彈出遊戲、廣告等，借以賺取利潤，其主要危害地區均來自海外，“做病毒的容易銷毀證據，中國網絡執法比較難。”李鐵軍表示，由于違法成本低，收益大，這類病毒控制者常常都位于中國。

獵豹移動2015年報告中就已表明，這類手機病毒的産生和傳播過程多環節配合精密，形成了初步的産業化格局。這些控制者通常以建立移動廣告公司為掩護，有的甚至獲得了風險投資。“即使被曝光，這些團隊會隐姓埋名重操舊業，由于高利潤，做過黑産的人，不會老老實實賺辛苦錢。”李鐵軍說道。

安卓手機病毒的生态環境，這是一個龐大又繁榮的地下黑産。

====================================分割線================================

本文轉自d1net（轉載）