9388万台安卓手机感染悍马病毒 其团伙每天获利超50万美元
7月7日,猎豹移动安全实验室发布悍马病毒的最新进展。迄今为止,该病毒累计感染了9388万台安卓手机,成为有史以来危害最严重的手机病毒之一。
悍马病毒最早的样本在2014年即被发现,2015年7月后,该病毒的感染量明显上升。2016年该病毒的平均日活119万,峰值超过140万。
悍马病毒感染之后,会首先Root中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装众多软件或其他病毒,中毒手机用户会损失大量手机流量费。
由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置也不能摆脱病毒困扰。
通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入hummeroffers.com等12个域名用于病毒更新和推广指令下发。
在病毒域名的whois信息中,有两个是商业广告公司的网站:hummermobi和hummeroffers,注册人是“chenyang”。
查询工商注册资料可知,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。
注册这些域名使用的邮箱,被发现用于新浪微博,账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。在搜索引擎帮助下,很容易查到IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。
根据已公开的上市公司资料查询,陈阳是微赢互动公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约为1.5亿元。
根据病毒代码中留下的相关线索,猎豹移动安全专家在SaidourceForge.net发现悍马病毒制造者员工建立的账号,该账号上传了大量内部资料,包括广告后台使用流程等机密文件,甚至包括App测试流程、KPI考核文档等。
业内人士指出,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。