安全機構Check Point最近發布了一份非常詳細的報告，談到一款名為HummingBad的Android惡意程序。

它在行為方式上和先前一些相當霸道的Android惡意程序類似，不過它有幾大亮點：其一背后操縱者來自中國重慶（注意下面還有地址哦…）；其二其感染范圍極為廣泛，估計已經感染了8500萬臺設備。

　　HummingBad的實例增長

HummingBad幕后團隊大曝光

Check Point在報告中將這款Android惡意程序稱作HummingBad。這款惡意程序的作者是國內的一家廣告公司，名叫微贏互動（Yingmob！這下火了?。?。

Check Point在報告中毫不留情地揭露了這家公司的一些細節信息。

　　連工位都有??！

據說微贏互動內部還是有好幾個團隊在開發合法追蹤和廣告平臺的，而負責開發像HummingBad這樣惡意產品的團隊名為“海外平臺開發團隊”，這個團隊內部有4個小組，共25名成員。

該團隊有三個開發項目，分別是Eomobi（就是HummingBad惡意組件產品）、Hummer Offers（廣告服務器分析平臺）、Hummer啟動器（這實際上是個廣告服務Android應用開發包），共開發6條產品線：

1、Ebomi

2、Hummer啟動器

3、Root軟件開發套裝（SDK）

4、Hummer Offers

5、MAT

6、Unitemobi

這家公司其實算不上惡意程序的新人。早在2015年的時候，Palo Alto曾經發布過一款iOS惡意程序YiSpecter的報告。當時Palo Alto就認為YiSpecter應該與微贏互動有關，因為這款惡意程序簽名就是微贏企業證書。

Check Point這次的報告則提到HummingBad和YiSpecter相比，有著相同的C&C服務器地址，行為方式也很相似。另外HummingBad內部還包含QVOD快播文檔（Check Point直接將之稱作iOS色情播放器，淚奔…），這其實跟Yispecter也有關聯。

HummingBad的目標當然是賺錢！

CheckPoint估計，HummingBad每天都會推2000萬廣告內容，其點擊率大約為12.5%，也就是說每天的廣告點擊量約為250萬次。此外，HummingBad每天還安裝超過50000個欺詐應用。

估計微贏互動每天光從廣告點擊就能獲取超過3000美元的收益，而詐騙應用的安裝則能獲取7500美元/天。換算下來一個月就是30萬美元，一年則為360萬美元。

當前HummingBad已經感染了8500萬臺Android設備。不止于此，由于這款惡意程序會非法對Android設備進行Root操作，實現各類惡意程序的推送，這些設備幾乎就是被徹底掌控的。

這些設備上的數據風險自不必多說，將它們組成僵尸網絡，發起攻擊，或者將這些訪問權限賣到黑市，都全然不在話下。

微贏互動用他們自家的Umeng服務來追蹤HummingBad的感染情況（專業！）。從Umeng的控制面板來看，這家公司“注冊”了近200款應用，預計其中25%都是惡意程序，用于分發HummingBad惡意程序。

上面這張圖也來自Umeng的統計，從去年8月份開始，其活躍性成長表現還是相當不錯的。

從HummingBad當前影響的國家地區來看，這款惡意程序當前應該算是個跨國惡意程序，雖然主要感染地區還是在中國和印度，其他各國的感染數量也是相當可觀的。

惡意行為分析

這次的報告中提到，HummingBad首次感染方法應該是隱藏下載攻擊（drive-by download），部分成人內容站點也提供了相應的惡意payload。

而HummingBad本身包含了兩個主要組成部分，其中一個組件負責對Android設備進行Root操作，Rootkit會考慮利用多種不同的漏洞。Root成功后，攻擊者就能完全獲取設備的訪問權限。

如果Root失敗，第二套組件就會生成一個欺騙性的系統升級通知，欺騙用戶讓HummingBad獲取系統級權限（Root還是關鍵呀！）。

無論Root是否成功，HummingBad都會盡可能下載大量欺詐應用。

　　模擬點擊的代碼

整套HummingBad包含好幾個惡意組件。首要的組件名為SSP，其作用是顯示非法廣告、安裝欺詐應用。

該組件通過4個事件觸發：設備啟動、屏幕開啟/關閉、設備連接任意變化、用戶檢測（聽說過Android系統中的Receiver嗎？這類行為其實是完全合法的）。

觸發過后，SSP開啟名為Se的服務，初始化惡意邏輯，并且開啟廣告網絡。SSP還會開啟計時器，每10秒鐘計劃一次LockTask，如果滿足相應條件（比如互聯網連接、從服務器獲取到設置，時間延遲等），LockTask就會重啟Se服務，并且啟動MainActivity進程，激活惡意payload。

MainActivity進程開始之后，惡意程序會顯示廣告banner，廣告上面會有個關閉按鈕。實際上惡意程序會阻止用戶回到Home頁，或者是進行返回操作，這樣用戶就只能點擊該廣告了。

用戶點擊所謂的“關閉”按鈕，實際上也是點擊一次廣告操作。在點擊廣告之后，SSP組件就會向服務器發出請求，給APK返回一個鏈接，SSP隨后再從服務器下載該APK文件（就是Android安裝文件嘛）。

　　那個“關閉”按鈕相關代碼

APK文件下載完成后，惡意應用會檢查設備是否已經Root。如果已經Root，則默默地安裝下載的APK文件；如果沒有Root的話，SSP會彈出用戶對話框，仍舊企圖進行安裝操作。

下載的APK文件安裝完成后，SSP再啟動該程序，并且廣播INSTALL_BEFERRER，通過從服務器獲取到的信息來偽造Google Play的安裝，并從廣告網絡中獲取廣告收益（難道這不是僅針對國際用戶的么？）。

作為一個合格的惡意程序，肯定還要獲取更新、發回報告。SSP會從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的，值大概是這樣的：

·{"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}

·{"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}

·{"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think

·{"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused

·{"id":7,"name":"1","master":"1","slave":"1"} //and this

·{"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}

·{"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}

·{"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}

·{"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":14,"name":"易盟-啟彈","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}

·{"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

·{"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}

·{"id":18,"name":"1mob-xin（點滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

除此之外，SSP還有一些行為，比如具體的Google Play進程注入（SSP能夠向Google Play進程注入一個庫，惡意程序也就能夠偽裝Google Play商店中安裝、購買、接受點擊操作；這里用到的是比較知名的ptrace，SSP能夠用ptrace來調用控制其他應用，讀取、寫入內存等操作）；還有RightCore惡意組件，其實應該算是SSP的一個早期版本；CAP組件采用比較復雜的技術負責安裝欺詐應用，實現欺騙IMEI碼注入，執行Google Play的點擊模擬操作等等。

對這些感興趣的同學可以點擊這里，查看Check Point提供的詳情。

在Check Point看來，微贏互動可能是首個曝光到大眾面前、如此高度組織化推惡意程序的團隊。

或許這種趨勢未來還會持續，引來其他團隊的學習，實現復雜攻擊的獨立化運營，甚至將這樣掌控僵尸網絡的權限，提供給某些組織或政府機關，情況就更加復雜了。