“一家中国公司很可能制造出了感染量达全球第一的安卓手机病毒。”
这是近日,包括移动安全厂商猎豹移动、Check Point、Lookout等先后发出的一项安全警报所指向的可能性结果。
根据病毒传播主服务器信息,这一病毒被命名为悍马(Hummer)病毒。目前悍马病毒的累计感染量达到9388万,今年以来,全球日活峰值超140万,平均日活119万,超过以往其他所有手机病毒的感染量。猎豹移动估算,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
“悍马病毒(Hummer)可以说是有史以来感染数量最大的手机病毒。”猎豹移动安全专家李铁军在接受第一财经记者采访时说。此前,大部分有影响的病毒,其感染量在20-30万的级别,去年感染数量较大的病毒幽灵推是近100万日活。
而在对这一病毒样本仔细分析之后,第一财经记者发现,多条线索都指向同一家公司——微赢互动,该公司在2015年被A股上市公司明家联合(证券代码:300242)收购。
截至记者截稿时止,微赢互动并未对外回应。针对悍马病毒及其幕后公司,猎豹移动称已在今年6月份就上报国家病毒监测中心,目前已经有了用户端的安全解决方案。
日赚50万美元黑钱
悍马病毒最初的样本是在2014年被发现。李铁军告诉第一财经记者,当时悍马病毒感染量较小,2015年后开始上升,到了2016年上升明显。尤其在今年年初时,猎豹移动安全实验室对印度top 10的手机病毒样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。Check Point也在博客中称,从今年2月开始,他们留意Yingmob(中文名:微赢互动)已有5个月时间。
具体而言,悍马病毒往往是捆绑在一些小功能的软件中,欺骗用户进行下载安装。用户的手机一旦被悍马病毒感染,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装大量同类变种、推广应用、 以及其他病毒,中毒手机用户会损失大量手机流量费。
由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。
而这一病毒全球累计感染量惊人地超过了9000多万。根据猎豹移动安全实验室监测数据,仅在2016年1-6月,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。如果以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。从全球范围看,悍马(hummer)手机病毒感染用户中,印度、印尼、土耳其位居前三,中国居第4。
其中,印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。
而Check Point数据也称悍马病毒的感染量超过8500万,其中大多数受到感染的设备目前都在中国和印度,两国已经发现的案例都超过了100万。美国估计也有大约25万部安卓设备受到感染 。
这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。
中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。
李铁军告诉记者,猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。病毒源头指向中国公司
通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发。
在病毒域名的whois(是用来查询域名的IP以及所有者等信息的传输协议)信息中,有两家是商业广告公司的网站: hummermobi 和hummeroffers,注册人是“chenyang” 。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。
记者查询工商注册资料,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。而注册这些域名使用的邮箱,被猎豹安全技术人员发现用于新浪微博的用户账号,账号名分别包括“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。查阅公开资料不难发现,IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。
根据上市公司已公开信息,微赢互动的联合创始人之一陈阳与之重名,是该公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约在1.5亿元。猎豹移动追踪到与微博名为“McVivi_Vip”相关的某网盘,其中有大量关于该公司制作恶意程序的内部文档。
此外,在病毒域名的注册资料中,发现地址信息“重庆市渝中区大溪沟星都大厦5层”,这一地址正是微赢互动公司重庆分公司的办公地址。
更意外的是,该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上。悍马病毒制造者员工建立的账号在SourceForge平台上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。“通常做手机病毒的人员都很注意隐藏,这种真名实姓注册域名来经营管理病毒的很少见。”李铁军说。
至此,病毒制造者的线索,均指向上市公司明家联合的全资子公司微赢互动。
而Check Point也在博客中透露微赢互动的运作方式:其选择与一家合法的国内广告分析企业合作,分享其资源和技术。该团伙具备高度组织性,拥有25名员工,分成四组负责开发这一手机病毒。其运作方式与曾经主要针对中国国内iOS用户的YiSpecter病毒很像,Check Point认为,两者之间的高度雷同决不是巧合。
从病毒样本的时间节点上,猎豹移动安全专家也发现了一些巧合之处:2015年5月,病毒1.0版本被截获,仅有2个样本,短短两个多月之后,样本数量增加到近200个;通过搜索引擎发现,2015年6月微赢互动被明家联合(原明家科技)收购。
截至记者截稿时止,针对疑造手机病毒一事,明家联合和微赢互动并未对外回应。
每日A股操作策略和涨停股都会在我的微信号里发布,扫描下方的二维码(或搜索微信公众号:laochengucanhui )关注我的股参会。
我来说两句排行榜