您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[组图]号称最恐怖的手机病毒“悍马病毒”疑踪调查

2016/8/22 作者:皮鲁安全之家 来源: 网络收集
导读 中国企业造出超强安卓病毒“悍马”:感染后太恐怖

     

  某中国企业制造了感染量全球第一的安卓手机病毒,根据病毒传播主服务器信息,将其命名为悍马(Hummer)。

  报告介:今年以来,悍马病毒全球日活峰值超140万,中国受害手机每天超过6.3万。有充分证据表明,该病毒家族与A股上市公司明家联合(证券代码:300242)旗下的广告公司——微赢互动有关。

        

  此前,有媒体报道称,以色列安全软件科技公司Check Point也发现该基于Android系统的安全隐患。在一份报告中,Check Point的威胁防御团队指出,一个Android手机操作系统的恶意软件正在威胁全球8500万台设备。这个恶意软件的幕后推手,是一家中国数字广告公司微赢互动(YingMob)。

  业内人士指出,悍马病毒(Hummer)是有史以来感染数量最大的手机病毒,在全球感染了数以百万计的安卓手机(以色列CheckPoint公司估计其全球感染量超8500万),以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。

  悍马病毒感染之后,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装众多软件或其他病毒,中毒手机用户会损失大量手机流量费。由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置也不能摆脱病毒困扰。

  追踪病毒源头

  通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入hummeroffers.com等12个域名用于病毒更新和推广指令下发。

  在病毒域名的whois信息中,有两个是商业广告公司的网站: hummermobi和hummeroffers,注册人是“chenyang” 。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。

  查询工商注册资料可知,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。

         

  注册这些域名使用的邮箱,被发现用于新浪微博,账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。在搜索引擎帮助下,很容易查到IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。

  根据已公开的上市公司资料查询,陈阳是微赢互动公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约为1.5亿元。

       

  经过对病毒代码中留下相关线索,猎豹移动安全专家在SaidourceForge.net发现悍马病毒制造者员工建立的账号,(注:SourceForge是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。)该账号上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。

  到与McVivi_Vip相关的某网盘,其中有大量关于该公司制作恶意程序的内部文档。

         

  至此,病毒制造者的线索,均指向上市公司明家联合的全资子公司微赢互动。

  悍马(Hummer)病毒感染量全球第一

  据猎豹移动安全实验室监测数据,2016年1月至今,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。

      

  悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4。下图是悍马病毒全球感染最严重的前25个国家。

  印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。

     

  这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。

  中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。

  正文:

  1981年出生的李佳宇和1985年出生的陈阳,两位年轻的80后亿万富翁,是在2011年创办的北京微赢互动科技有限公司(下称“微赢互动”),专注于手机移动广告市场。2015年,微赢互动被创业板上市公司——广东明家联合移动科技股份有限公司(300242.SZ,下称“明家联合”)估价10亿元收购。李佳宇和陈阳,也因为这笔收购而身价暴涨,其中陈阳跻身明家联合第十大股东,李佳宇位列第四大股东。按照明家联合目前的股价计算,两位80后的身家均已过亿。

  但是,这笔光鲜交易的背后,可能隐藏着一个不可告人的“秘密”。

  悍马(hummer)病毒

  2016年6月24日,知名手机安全厂商猎豹公司发布警告称:公司监测到一个影响全球的手机病毒家族,并将其命名为“悍马(hum-mer)”,2016年1~6月,该病毒感染手机超过140万台,平均日活跃量119万台。

  悍马病毒感染手机之后,会首先获得系统最高控制权,再频繁弹出广告,后台下载静默安装众多软件或其他病毒,中毒手机用户会损失大量手机流量费。由于病毒得到了系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置也不能摆脱病毒困扰。

  许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。猎豹移动安全专家在一部测试手机安装该病毒APP,结果病毒在短短几个小时内,访问网络连接数万次。消耗网络流量2GB,下载APK(安卓手机程序)超过200个。

  据猎豹移动安全实验室监测数据,2016年1-6月,悍马病毒平均日活跃量119万台,超过其他所有手机病毒的感染量。悍马手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第四。

  与此同时,国外的安全软件厂商也监测到了悍马病毒。卡巴斯基实验室也探测到了“悍马”,不过该公司将这款恶意软件称之为“trojan.AndroidOS.Iop”。

  猎豹移动估算,以每台中毒手机每天仅安装一个APP最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。

  疑踪

  2016年7月初,猎豹公司进一步发布报告,称通过对悍马病毒代码的分析和追踪,多条线索指向微赢互动重庆分公司团队和重庆公司负责人陈阳。

  不止一家安全软件公司对微赢互动发出质疑。

  国外媒体CNBC的报道也指出,知名的网络安全软件公司Check Point分析称,开发悍马这一恶意程序的团队与位于北京的一家公司微赢互动(英文名Yingmob)有关联。

  Check Point也在博客中透露了病毒团伙的运作方式:选择与一家合法的国内广告分析企业合作,分享其资源和技术。该团伙具备高度组织性,拥有至少25名员工,分成四组负责开发这一手机病毒。

  至此,已经有包括猎豹公司在内的三家安全软件商发出了悍马病毒的警告。

  通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发,通过查询域名拥有者信息,一个名叫“陈阳(ChenYang)”的人进入安全专家的视线。

  注册这些域名使用的邮箱,被发现用于新浪微博,账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。在搜索引擎帮助下,很容易查到IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。

  经济观察报记者调查发现,陈阳的主要活动地域为重庆,其手机号码为重庆电信189号段,陈阳的出生年月为1985年,陈阳的微信地域为上海,均与猎豹公司发布的陈阳微博资料相吻合。

  猎豹公布的线索追踪显示:在病毒域名的注册资料中,发现地址信息“重庆市渝中区大溪沟星都大厦5层”,正好是微赢互动公司重庆分公司的办公地址。据明家联合已公开的信息,微赢互动的联合创始人之一也叫陈阳,是该公司负责技术的CTO。

  在悍马病毒域名的whois信息(域名持有人信息数据库)中,有两个貌似是商业广告公司的网站:hum-mermobi 和hummeroffers。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。

  查询工商注册资料可知,陈阳是上海昂真科技有限公司重庆分公司的法人代表,也是两个病毒更新域名的实际持有人,与前述查询结果吻合。

  通过病毒代码中留下的相关线索,猎豹移动安全专家在Saidource-Forge.net发现悍马病毒制造者员工建立的账号,(注:SourceForge 是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。)该账号上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括APP测试流程、KPI考核文档等。

  经济观察报调查后发现,在猎豹公布了悍马病毒警告之后,hummer-mobi.com和hummeroffers.com的域名持有人已经发生了转移,2016年8月19日,这两个域名的持有者为li-uwenwen。

  重庆公司仍正常运营

  在重庆星都大厦五层这个营业地址上,经济观察报有更多的发现,陈阳团队一共在此地址上注册有4家公司,但实际均为同一个团队在运营,猎豹等手机安全厂商发布了悍马病毒警告之后,陈阳已将自己的多家公司法人代表身份转出,同时注销了自己担任法人代表,于2013年设立的重庆爱赢科技有限公司。

  猎豹公司公布了悍马病毒线索之后,政府部门似乎没有对陈阳和他的重庆团队采取任何行动。

  2016年8月17日,经济观察报记者来到重庆市北区路73号星都大厦的五层,此处办公地址非常低调,公司前台询问记者是否与陈总有预约,问明来意后,陈阳避而不见。此处采用严格的电子门禁系统,各办公区域分割。楼下大厅、楼上电梯间以及公司前台均无任何该公司的logo或者名字标识。

  一位李姓女性职员对记者表示,目前在此有100多位员工。

  经济观察报通过调取工商资料发现,李佳宇、陈阳和微赢互动在重庆一共有4家公司,并且建立了一个大约100人规模的团队。这4家公司分别是:指点通(北京)科技有限公司重庆分公司、淮安爱赢互通科技有限公司重庆分公司、上海昂真科技有限公司重庆分公司、重庆爱赢科技有限公司。

  经济观察报记者就悍马病毒一事,尝试手机联系李佳宇和陈阳,但两者均不回应。

  陈阳的身份信息显示其为江西上饶籍,而李佳宇的户籍地址则在北京,手机号码使用的是北京移动。重庆公司的员工称,陈阳是重庆主要负责人,而李佳宇的工作地一直在北京。

  被猎豹曝光的上海昂真科技有限公司重庆分公司,注册地址就在星都大厦五层,法人代表已经由陈阳变更为李佳宇。经济观察报获得的一份场地使用文件显示:2014年4月,上海昂真科技有限公司与微赢互动签订协议,微赢互动将该处地址无偿提供给上海昂真科技有限公司重庆分公司使用。

  这意味着,从2014年开始,微赢互动、李佳宇、陈阳和他的重庆团队已经开始了公司化的运作。

  10亿元交易

  2015年6月15日,明家联合(当时叫做“明家科技”)发布定增重组方案,以10.08亿元,从李佳宇、陈阳等10名股东手中收购微赢互动100%的股权。微赢互动获得了不可思议的溢价收购:微赢互动的净资产账面价值为9,757.66万元,评估增值率高达934.84%。

  关于这笔交易,明家联合解释,公司本次拟收购的微赢互动,为移动营销领域内出色的移动广告推广服务商,可提供给广告主精准、高效的移动广告推广服务,覆盖海量终端用户。微赢互动主要通过APP 端、WAP端移动广告平台覆盖亿级媒体资源,进行移动广告自主投放。

  对于溢价10倍收购的微赢互动,明家联合是这么介绍的:微赢互动作为移动互联网营销推广领域的领军企业之一,已构建了多层次平台群。目前,核心群为:Iadpush平台、易盟平台以及千速平台,这些广告平台均具有着较强的客户聚拢能力、广泛的媒体资源,覆盖了过亿规模的手机用户群体;成长群为淘米客、好易苹果助手,这两个广告平台,已正式投入运营且体现出了较好的盈利能力和明晰的未来发展途径;培育群为海外平台以及需求者平台(DSP平台)等项目,这些项目尚处于培育阶段,未来或将具有爆发式增长机会。

  微赢互动的核心群是移动广告每一次潮流迭代中沉淀下来的优质移动广告平台,这既体现了该公司敏锐的市场机遇捕捉能力,又体现了其强大的产品研发和平台运营管理能力。

  殊不知,一旦猎豹等软件安全公司的指证成立,微赢互动的大量业绩和收入,很有可能是靠悍马(hummer)这样的病毒程序欺诈而来。

  令人难以理解的是,悍马病毒的传播时间,与微赢互动的业绩增长,竟然惊人的一致。

  软件安全厂商Check Point估计,微赢互动每天从广告点击获取超过3000美元的受益,而诈骗应用的安装则能获取7500美元。换算下来,一个月30万美元,一年则为360万美元。

  在经营业绩上,微赢互动2015年的收入和利润必须获得跳跃式、爆发式的增长。原因是李佳宇和陈阳在这笔股权收购中,与明家联合签下了业绩对赌协议——承诺微赢互动2015年度、2016年度、2017年度实现的扣除非经常性损益后净利润分别不低于7150万元、9330万元、12000 万元。

  已经形成惊人对比的是,自从陈阳2014年7月份加盟微赢互动之后,微赢互动的营业收入在2014年暴增了7倍,迅速的从2013年的2300万元增加至2014年的1.6亿元。

  2014年,微赢互动的净利润约4200万元;2015年,被明家联合10亿元交易完成之后,李佳宇和陈阳们必须保证微赢互动的净利润达到7150万元,即实现60%左右的增长。

  2016年7月6日,明家联合刊出公告否认其子公司与悍马(hummer)病毒有关,称其相关的两个域名hum-mermobi.com和hummeroffers.com已于2015年11月11日转出。

  但早在域名转让的六个月之前,即2015年5月,猎豹移动安全专家已经截获悍马(hummer)病毒1.0版本。明家联合没有回答的问题是:持有悍马病毒相关域名的微赢互动,病毒出现到转让之前的这段时间里在干什么,以及后来域名转让给了谁,为什么要转让?

  所有这些问题,恐怕只有公安部门的介入,才能完全调查清楚。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack: 没有了
  • 网友评论
      验证码