陈阳开发安卓悍马病毒木马遭FBI通缉,明家联合旗下移动广告平台微赢互动iadpushu

2016年7月8日 发表评论 阅读评论

6月22日,安全厂商:猎豹移动(美股代码CMCM)的安全实验室发布安全警告,发现一个影响全球的手机病毒家族,并将其命名为“悍马(hummer)”。2016年1-6月,悍马病毒全球日活峰值超140万,平均日活119万。闪电站小猪看到猎豹移动的报告,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。

7月7日,猎豹移动的安全专家进一步指出,对悍马(hummer)病毒样本仔细分析之后发现,多条线索都指向同一家公司——微赢互动,该公司在2015年被A股上市公司明家联合(证券代码:300242)收购。

明家联合的股票目前处于停牌状态,根据深交所的前次批准,该公司将继续停牌至7月11日。

外媒CNBC的报道也指出,知名的网络安全软件公司Check Point分析称,开发这一恶意程序的团队与位于北京的一家公司微赢互动(Yingmob)有关联。

悍马病毒感染之后,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装众多软件或其他病毒,中毒手机用户会损失大量手机流量费。由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置也不能摆脱病毒困扰。

猎豹移动已对旗下猎豹安全大师、猎豹清理大师两款安全产品进行升级,并提供专杀工具供全球用户下载(下载地址:http://cn.cmcm.com/activity/push/cm/stk/1/ ),帮助用户清除悍马(hummer)病毒,中毒用户亦可选择通过手机刷机来彻底清除。

悍马(Hummer)病毒是全球排名第一的手机病毒

据猎豹移动安全实验室监测数据,2016年1-6月,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。

悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4,闪电站小猪发现该病毒已造成多国手机用户麻烦。下图是悍马病毒全球感染最严重的前25个国家。

印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。

这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。

中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。

追踪悍马病毒源头

通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发,通过查询域名拥有者信息,一个名叫“陈阳”的人进入安全专家的视线。

注册这些域名使用的邮箱,被发现用于新浪(52.28, 2.04, 4.06%)微博(31.31, 2.82, 9.90%),账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。在搜索引擎帮助下,很容易查到IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。

在病毒域名的注册资料中,发现地址信息“重庆市渝中区大溪沟星都大厦5层”,正好是微赢互动公司重庆分公司的办公地址。据上市公司已公开信息,微赢互动的联合创始人之一也叫陈阳,是该公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约为1.5亿元。

在病毒域名的whois信息中,有两个貌似是商业广告公司的网站: hummermobi 和hummeroffers。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。

查询工商注册资料可知,陈阳是上海昂真科技有限公司重庆分公司的法人代表,也是两个病毒更新域名的实际持有人,与前述查询结果吻合。

经过对病毒代码中留下相关线索,猎豹移动安全专家在SaidourceForge.net发现悍马病毒制造者员工建立的账号,(注:SourceForge 是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。)该账号上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。

病毒制造公司制定的KPI考核文档病毒制造公司制定的KPI考核文档

从病毒样本的时间节点上,猎豹移动安全专家也发现了一些巧合之处:2015年5月,病毒1.0版本被截获,仅有2个样本,短短两个多月之后,样本数量增加到近200个;通过搜索引擎发现,2015年6月微赢互动被明家联合(原明家科技)收购。

闪电站小猪听网上说病毒作者陈阳已被美国FBI通缉,不知道真实情况如何,这已经威胁到国际手机用户的安全!


转载请注明来自:[MSN Spaces]http://msn.shandian.biz/1134.html

  1. 本文目前尚无任何评论.