精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

文章原創作者： 獵豹移動安全實驗室

自2016年年初開始，獵豹移動安全實驗室對印度top 10的手機樣本進行了梳理，結果發現這些病毒樣本存在家族關系，這些病毒樣本均采用hummer系列域名為升級服務器，獵豹移動安全實驗室將該病毒家族命名為“悍馬（hummer）”。

悍馬（Hummer）病毒全球日活119萬

據獵豹移動安全實驗室監測數據，2016年1-6月，悍馬（Hummer）病毒的平均日活119萬，超過其他所有手機病毒的感染數據，悍馬病毒已成世界排名第一的手機病毒。

悍馬（hummer）手機病毒已遍布全球，印度、印尼、土耳其位居前三，中國居第4。

印度是悍馬病毒感染量最高的國家，在印度肆虐的十大手機病毒中，第2、3名是悍馬病毒家族成員，第6名是悍馬病毒推廣安裝的其他病毒。

悍馬病毒最早的樣本在2014年即被發現，2015年7月后，該病毒的感染量明顯上升。2016年該病毒的平均日活119萬，峰值超過140萬。

悍馬病毒樣本變種數在2016年4-5月份達到高峰，和該病毒在全球的感染量增長基本吻合。

“悍馬（hummer）”病毒家族的發現

除部分風險應用外，其中標紅為本文討論的家族，該病毒會root用戶手機，靜默安裝其他病毒以及推廣安裝大量應用。

看似一款普通的應用，但是安裝后手機就重啟。然后屏幕滿滿的廣告，系統被安裝大量同類變種、推廣應用、 以及其他病毒。就像這樣

中毒用戶將手機恢復出廠設置并不能解決問題，因為病毒已經獲得ROOT權限，system分區已被修改，“悍馬”病毒的多個變種已植入手機ROM內。

這種被深深植入rom的病毒，普通的恢復出廠設置，以及進入recovery系統wipe data（安卓用戶熟悉的手機雙清）都無法清除。

悍馬病毒在手機上的運行方式

悍馬病毒使用了私有殼

　　實際主體在stream.png的文件里

　　在這個png 實際上是一個加密后的 elf 被載入后釋放一個zip

　　該應用的代碼實際隱藏在這個zip里面

　　脫殼后的，其資源文件還有兩個elf兩個apk

首先，悍馬病毒運行后會釋放該模塊root手機，并且會根據不同的機型使用不同的解決方案。

　　如果該文件不存在或者損壞，他還可以聯網更新

病毒會根據不同的運營商來判斷使用哪個模塊。right_core是一個500k的zip包。

right_core包含一個root sdk，root手機之后下載更多的子包與以上guangbom等url路徑為/getSSPDownUrl.do?cid=的apk并安裝。

另外如果root成功，則將之前包里的erwuba這個apk解密并安裝到system下，如果root失敗則頻繁彈出安裝窗口，強迫用戶安裝。該apk安裝無圖標，作用類似主apk，為病毒的備份，防止原先病毒app被卸載。

接下來就會瘋狂彈出各種廣告：

根據最新版發現，“悍馬”病毒最新變種內置多達18種root方案，基本涵蓋Android 5以及更早的系統版本。

等root完手機之后，“悍馬”病毒變種會以如下方式與廣告服務器通訊，進而靜默安裝其他應用，前臺頻繁展示，或者后臺點擊廠商廣告。

　　受害廣告廠商

我們在一臺測試機安裝悍馬病毒APP，做了幾個小時的網絡抓包，發現其在短短的幾小時內，訪問網絡鏈接數萬次。消耗網絡流量達2GB，下載apk超200個。發現受影響的廣告廠商如下：

　　追蹤

獵豹移動安全實驗室對悍馬病毒的歷史進行溯源，發現該病毒家族很早就有發現，變種依然十分活躍。

也有其他國外安全廠商有過分析報道：Checkpoint

這是一個什么樣的病毒組織呢？

獵豹移動安全實驗室追蹤到病毒常用域名更新接口如下：

http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json

對應內容如圖

　　其中root相關的為 9.json 目前其內容如下

{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}

這些域名除了寫在代碼里，還有通過以上url獲得收集到的提供病毒更新的域名如下

guangbom.com

ssppsspp.com

cscs100.com

cscs200.com

ccaa100.com

ccaa200.com

使用后綴均為getSSPDownUrl，但是鏈接返回的apk不固定。其中猜測幾個cid作用如下

117 124—-Root工具

112 115 118 120 121 126 127—-惡意推廣com.android.systemUl

129 025—-惡意推廣com.android.updater

這些網址仍然活躍

這些鏈接基本都會跳轉到以下兩個aws域名，這兩個域名下，散布了大量病毒（virustotal截圖）

　　另一個系列更新鏈接如下

http://fget.aa0ab.com:10010/c/

http://manage.hummerlauncher.com:10010/c/

http://fget.haoyiapi.com:10010/c/

http://fget.aa0ab.com:10010/c/

　　以上涉及的域名中，明確提供病毒下載與更新的域名如下

guangbom.com

ssppsspp.com

cscs100.com

cscs200.com

ccaa100.com

ccaa200.com

manage.hummerlauncher.com

aa0ab.com

haoyiapi.com

雖然大部分域名whois信息已經被隱藏，部分域名的whois已經更新，但我們仍然獲取到如下信息

　　‘

域名的whois信息中，有兩個貌似是商業廣告公司的網站 hummermobi、hummeroffers ，其中的一個網站還寫有公司地址。簡單搜索，發現這兩個域名屬于上海昂真科技有限公司，該公司為北京微贏互動科技有限公司在上海的全資子公司。

使用搜索引擎，發現上海昂真科技有限公司重慶分公司的法人代表為“陳陽”，也是兩個病毒更新域名的實際持有人。

域名Whois歷史中涉及兩個QQ郵箱追蹤如下：

其郵箱對應的微博指向了iadpush的員工。根據上市公司公開資料，iadpush是微贏互動旗下的子公司。

然而更意外的是：該病毒組織員工安全意識薄弱，竟然把密碼公開放到代碼托管網站SourceForge.net上（完整URL:https://sourceforge.net/p/xiu8/svn/HEAD/tree/doc/iad/）

注：SourceForge 是全球最大開源軟件開發平臺和倉庫，是為開源軟件提供一個存儲、協作和發布的平臺。

獵豹移動的安全研究人員在其泄露的內部文檔中發現，他們的后臺網址竟然就是病毒的更新網址，已泄露的文檔相當詳盡。雖然數據稍顯陳舊，但仍有參考價值。

獵豹移動追蹤到與McVivi_Vip相關的某網盤，其中有大量關于微贏互動公司制作惡意程序的內部文檔。

　　里面還有他們的工作規劃，招聘崗位說明……

　　悍馬病毒功能相關域名關系圖

*文章原創作者： 獵豹移動安全實驗室，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）