7月7日消息,今日,獵豹移動安全實驗室發布安全警告:某中國企業制造了感染量全球第一的安卓手機病毒,根據病毒傳播主服務器信息,將其命名為悍馬(Hummer)。
報告介:今年以來,悍馬病毒全球日活峰值超140萬,中國受害手機每天超過6.3萬。有充分證據表明,該病毒家族與A股上市公司明家聯合(證券代碼:300242)旗下的廣告公司——微贏互動有關。
此前,有媒體報道稱,以色列安全軟件科技公司Check Point也發現該基于Android系統的安全隱患。在一份報告中,Check Point的威脅防御團隊指出,一個Android手機操作系統的惡意軟件正在威脅全球8500萬臺設備。這個惡意軟件的幕后推手,是一家中國數字廣告公司微贏互動(YingMob)。
業內人士指出,悍馬病毒(Hummer)是有史以來感染數量最大的手機病毒,在全球感染了數以百萬計的安卓手機(以色列CheckPoint公司估計其全球感染量超8500萬),以每臺中毒手機每天僅安裝一個App最低收入0.5美元估算,悍馬病毒團伙每天獲利超50萬美元。
悍馬病毒感染之后,會首先ROOT中毒手機獲得系統最高控制權,再頻繁彈出廣告,后臺下載靜默安裝眾多軟件或其他病毒,中毒手機用戶會損失大量手機流量費。由于病毒得到系統最高控制權,一般手機殺毒軟件無法徹底清除悍馬病毒,即使將手機恢復出廠設置也不能擺脫病毒困擾。
追蹤病毒源頭
通過對病毒樣本的分析,獵豹移動安全專家追蹤到用于病毒升級的域名,自2016年年初開始,悍馬病毒投入hummeroffers.com等12個域名用于病毒更新和推廣指令下發。
在病毒域名的whois信息中,有兩個是商業廣告公司的網站: hummermobi和hummeroffers,注冊人是“chenyang” 。經過查閱上市公司公開資料,這兩個域名屬于上海昂真科技有限公司,該公司為北京微贏互動科技有限公司在上海的全資子公司。
查詢工商注冊資料可知,上海昂真科技有限公司重慶分公司的法人代表叫陳陽,是兩個病毒更新域名的實際持有人。
注冊這些域名使用的郵箱,被發現用于新浪微博,賬號名為“Iadpush陳陽”和“McVivi_Vip”,微博簡介為IAdPush員工。在搜索引擎幫助下,很容易查到IAdPush是微贏互動旗下的廣告平臺,主營業務為移動廣告。
根據已公開的上市公司資料查詢,陳陽是微贏互動公司負責技術的CTO,名列上市公司明家聯合的第十大股東,以現有股票價格計算,其身價約為1.5億元。
經過對病毒代碼中留下相關線索,獵豹移動安全專家在SaidourceForge.net發現悍馬病毒制造者員工建立的賬號,(注:SourceForge是全球最大開源軟件開發平臺和倉庫,是為開源軟件提供一個存儲、協作和發布的平臺。)該賬號上傳了大量內部資料,包括廣告后臺使用流程(這個后臺同時也是病毒的升級地址)等機密文件,甚至包括App測試流程、KPI考核文檔等。
獵豹移動追蹤到與McVivi_Vip相關的某網盤,其中有大量關于該公司制作惡意程序的內部文檔。
至此,病毒制造者的線索,均指向上市公司明家聯合的全資子公司微贏互動。
悍馬(Hummer)病毒感染量全球第一
據獵豹移動安全實驗室監測數據,2016年1月至今,悍馬(Hummer)病毒平均日活119萬,超過其他所有手機病毒的感染量。
悍馬(hummer)手機病毒已遍布全球,印度、印尼、土耳其位居前三,中國居第4。下圖是悍馬病毒全球感染最嚴重的前25個國家。
印度是悍馬病毒感染量最高的國家,在印度肆虐的十大手機病毒中,第2、3名是悍馬病毒家族成員,第6名是悍馬病毒推廣安裝的其他病毒。
這些病毒自帶ROOT模塊,最新變種擁有18套不同的ROOT方案,一旦手機被感染,病毒即獲得最高系統權限,因而一般的毒查殺方法均不能徹底清除。
中毒之后,手機會頻繁彈出廣告影響正常操作。病毒會推廣手機游戲,甚至在后臺靜默安裝色情應用,許多中毒用戶發現手機總是被莫名安裝很多軟件,卸載之后不久再次被安裝。獵豹移動安全專家在一部測試手機安裝該病毒App,結果病毒在短短幾個小時內,訪問網絡連接數萬次。消耗用網絡流量2GB,下載apk超過200個。
京公網安備 11010502049343號