中国广告公司恶意感染8500万台手机:月赚200万
安全机构Check Point最近发布了一份非常详细的报告,谈到一款名为HummingBad的Android恶意程序。
它在行为方式上和先前一些相当霸道的Android恶意程序类似,不过它有几大亮点:其一背后操纵者来自中国重庆(注意下面还有地址哦…);其二其感染范围极为广泛,估计已经感染了8500万台设备。
HummingBad的实例增长
HummingBad幕后团队大曝光
Check Point在报告中将这款Android恶意程序称作HummingBad。这款恶意程序的作者是国内的一家广告公司,名叫微赢互动(Yingmob!这下火了!)。
Check Point在报告中毫不留情地揭露了这家公司的一些细节信息。
连工位都有啊!
据说微赢互动内部还是有好几个团队在开发合法追踪和广告平台的,而负责开发像HummingBad这样恶意产品的团队名为“海外平台开发团队”,这个团队内部有4个小组,共25名成员。
该团队有三个开发项目,分别是Eomobi(就是HummingBad恶意组件产品)、Hummer Offers(广告服务器分析平台)、Hummer启动器(这实际上是个广告服务Android应用开发包),共开发6条产品线:
1、Ebomi
2、Hummer启动器
3、Root软件开发套装(SDK)
4、Hummer Offers
5、MAT
6、Unitemobi
这家公司其实算不上恶意程序的新人。早在2015年的时候,Palo Alto曾经发布过一款iOS恶意程序YiSpecter的报告。当时Palo Alto就认为YiSpecter应该与微赢互动有关,因为这款恶意程序签名就是微赢企业证书。
Check Point这次的报告则提到HummingBad和YiSpecter相比,有着相同的C&C服务器地址,行为方式也很相似。另外HummingBad内部还包含QVOD快播文档(Check Point直接将之称作iOS色情播放器,泪奔…),这其实跟Yispecter也有关联。
HummingBad的目标当然是赚钱!
CheckPoint估计,HummingBad每天都会推2000万广告内容,其点击率大约为12.5%,也就是说每天的广告点击量约为250万次。此外,HummingBad每天还安装超过50000个欺诈应用。
估计微赢互动每天光从广告点击就能获取超过3000美元的收益,而诈骗应用的安装则能获取7500美元/天。换算下来一个月就是30万美元,一年则为360万美元。
当前HummingBad已经感染了8500万台Android设备。不止于此,由于这款恶意程序会非法对Android设备进行Root操作,实现各类恶意程序的推送,这些设备几乎就是被彻底掌控的。
这些设备上的数据风险自不必多说,将它们组成僵尸网络,发起攻击,或者将这些访问权限卖到黑市,都全然不在话下。
微赢互动用他们自家的Umeng服务来追踪HummingBad的感染情况(专业!)。从Umeng的控制面板来看,这家公司“注册”了近200款应用,预计其中25%都是恶意程序,用于分发HummingBad恶意程序。
上面这张图也来自Umeng的统计,从去年8月份开始,其活跃性成长表现还是相当不错的。
从HummingBad当前影响的国家地区来看,这款恶意程序当前应该算是个跨国恶意程序,虽然主要感染地区还是在中国和印度,其他各国的感染数量也是相当可观的。
恶意行为分析
这次的报告中提到,HummingBad首次感染方法应该是隐藏下载攻击(drive-by download),部分成人内容站点也提供了相应的恶意payload。
而HummingBad本身包含了两个主要组成部分,其中一个组件负责对Android设备进行Root操作,Rootkit会考虑利用多种不同的漏洞。Root成功后,攻击者就能完全获取设备的访问权限。
如果Root失败,第二套组件就会生成一个欺骗性的系统升级通知,欺骗用户让HummingBad获取系统级权限(Root还是关键呀!)。
无论Root是否成功,HummingBad都会尽可能下载大量欺诈应用。
模拟点击的代码
整套HummingBad包含好几个恶意组件。首要的组件名为SSP,其作用是显示非法广告、安装欺诈应用。
该组件通过4个事件触发:设备启动、屏幕开启/关闭、设备连接任意变化、用户检测(听说过Android系统中的Receiver吗?这类行为其实是完全合法的)。
触发过后,SSP开启名为Se的服务,初始化恶意逻辑,并且开启广告网络。SSP还会开启计时器,每10秒钟计划一次LockTask,如果满足相应条件(比如互联网连接、从服务器获取到设置,时间延迟等),LockTask就会重启Se服务,并且启动MainActivity进程,激活恶意payload。
MainActivity进程开始之后,恶意程序会显示广告banner,广告上面会有个关闭按钮。实际上恶意程序会阻止用户回到Home页,或者是进行返回操作,这样用户就只能点击该广告了。
用户点击所谓的“关闭”按钮,实际上也是点击一次广告操作。在点击广告之后,SSP组件就会向服务器发出请求,给APK返回一个链接,SSP随后再从服务器下载该APK文件(就是Android安装文件嘛)。
那个“关闭”按钮相关代码
APK文件下载完成后,恶意应用会检查设备是否已经Root。如果已经Root,则默默地安装下载的APK文件;如果没有Root的话,SSP会弹出用户对话框,仍旧企图进行安装操作。
下载的APK文件安装完成后,SSP再启动该程序,并且广播INSTALL_BEFERRER,通过从服务器获取到的信息来伪造Google Play的安装,并从广告网络中获取广告收益(难道这不是仅针对国际用户的么?)。
作为一个合格的恶意程序,肯定还要获取更新、发回报告。SSP会从某JSON文件检索C&C域名。这里的JSON文件是从d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下载的,值大概是这样的:
·{"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}
·{"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}
·{"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think
·{"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused
·{"id":7,"name":"1","master":"1","slave":"1"} //and this
·{"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}
·{"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}
·{"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}
·{"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
·{"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
·{"id":14,"name":"易盟-启弹","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
·{"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}
·{"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
·{"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}
·{"id":18,"name":"1mob-xin(点滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
除此之外,SSP还有一些行为,比如具体的Google Play进程注入(SSP能够向Google Play进程注入一个库,恶意程序也就能够伪装Google Play商店中安装、购买、接受点击操作;这里用到的是比较知名的ptrace,SSP能够用ptrace来调用控制其他应用,读取、写入内存等操作);还有RightCore恶意组件,其实应该算是SSP的一个早期版本;CAP组件采用比较复杂的技术负责安装欺诈应用,实现欺骗IMEI码注入,执行Google Play的点击模拟操作等等。
对这些感兴趣的同学可以点击这里,查看Check Point提供的详情。
在Check Point看来,微赢互动可能是首个曝光到大众面前、如此高度组织化推恶意程序的团队。
或许这种趋势未来还会持续,引来其他团队的学习,实现复杂攻击的独立化运营,甚至将这样掌控僵尸网络的权限,提供给某些组织或政府机关,情况就更加复杂了。
====================================分割线================================
本文转自d1net(转载)
中国广告公司恶意感染8500万台手机:月赚200万相关推荐
- 一个AI项目,4个月赚200万!
大家好,我是厂长. 最近我跟洋哥(前360技术总监,现某大厂高管,知名技术大V)一起创造了一个小奇迹:用时23天,我们共同经营的AI星球破 1.3万用户,是全国最大的AI星球! 但这并不是最让我开心的 ...
- get_live2d获取不到500_有人手机收不到验证码?警方打掉一“薅羊毛”产业链,全国已有570多万台手机被控制……...
为了招揽客户,一些电商平台往往会给新注册用户发放优惠券或者新人红包,网络上专门有人搜集各类优惠券.红包,这种行为被称为"薅羊毛".但想要"薅羊毛"就要用新手机号 ...
- 搭建恋爱话术库一个月赚5万,一年全款车!投入不到两千
刚毕业一年的大学生一个月赚五万多,靠自己全款买了车?干货满满的真实分享~ 现在是互联创业的时代,现在做互联网创业项目绝对是聪明且明智的选择.两年前你说互联网创业不靠谱是可以理解的,而现在电商时代的崛起 ...
- 一个月赚5万美元--国产共享软件开发者周奕2
一个月赚5万美元--国产共享软件开发者周奕2 编辑:未知 文章来源:http://blog.csdn.net/it88blog/archive/2007/09/19/1791845.aspx 周奕还不 ...
- 闲鱼月赚过万的日常运营相关
闲鱼月赚过万的日常运营相关 1.闲鱼简介 闲鱼作为阿里旗下的闲置(二手)交易平台App, 从2014问世,卖出第一个闲置物品(吉他)至今,已拥有至少2亿用户. 闲鱼可以说是目前流量最大,门槛最低的电商 ...
- 开课吧python学费-分享一个小白也能月赚2万的新技能
原标题:分享一个小白也能月赚2万的新技能 这两年,每天都听身边人吐槽:"最近太累了,加班多.事情杂.离家远......可到手的工资却少得可怜." 辞职.跳槽,已然成为一种常态. 这 ...
- 一个月赚5万美元--国产共享软件开发者周奕3
一个月赚5万美元--国产共享软件开发者周奕3 http://blog.csdn.net/it88blog/archive/2007/09/19/1791847.aspx 共享软件如何进军海外 新闻内容 ...
- 他们做淘宝客月赚1万很容易 淘宝客赚钱本质分析
在密密麻麻的网站赚钱博客赚钱的方法中,做淘宝客算不上最来钱的活,我倒是觉得做淘宝客是最容易来钱的活.做淘宝客门槛低.限制少,竞争激烈的话可以抛开不讲,因为没有人会愿意为了块骨头去跟人家拼抢,显然淘宝客 ...
- 一位博士的神奇脑回路,养牛“不卖牛奶不卖牛”,一年赚200万?
"科技是第一生产力",这是最近三十年,我国经济能够取得长足进步的主要原因之一.但是,现在的许多以前属于不传之秘的技术,都已经打破垄断成为常识,尤其对于养殖行业. 一位博士的神奇脑回 ...
最新文章
- docker 容器互访三种方式
- python编程视频-【科研资源03】最全Python编程全套系统视频学习教程
- Python入门100题 | 第064题
- 力扣:12正数转罗马数字(python) 简单粗暴解决方法
- 如何在SAP云平台的Cloud Foundry环境下添加新的Service(服务)
- 【视频】CCNA——telnet和SSH的配置
- C++四种强制类型转换
- 核酸结果统计难?130行代码实现基于ocr的核酸截图识别存储Excel(复现代码核查核酸报告)
- 洞察SaaS:中国SaaS的前世今生
- 我的IBM本本逃过一劫...
- Visual Studio 安装自定义插件
- java 循环赛问题_分治法实现循环赛日程表问题
- 微信企业号用户验证php,身份验证
- 昭阳E47G开机问题
- 获取字段的前值和后值的方法
- 智慧校园有多便捷?涂鸦公寓赋能打造,校内生态一键链接
- 【原创】通证经济应用落地真有那么难吗?——上篇
- 线性方程组的类型及求解(一)(备份草稿)
- 最新的Android版本是什么? 以及如何更新到当前的Android操作系统?
- 基于STM32的pca9535、pca9555IO扩展板开发
热门文章
- python可视化Bokeh 线形图(带分页)
- html清理超链接前面的黑点,【0基础学前端】1.2 段落文字图片超链接标签
- 【数据结构和算法】2谈谈算法
- oracle分类账设置,Oracle EBS R12 总账与子分类账的关系
- 怎样kill掉TCP连接状态是TIME_WAIT的而且找不到PID
- 安装OmniPlan第三方脚本FocusPlan,打通OmniPlan与OmniFocus
- 巡检水中机器人_一种水下管道巡检机器人及巡检方法与流程
- dw php用文本框更新记录,用dreamweaver htm的网页 一个输入框 一个按钮 点按钮将输入框中的内容保存到本地 肿么写...
- 机器学习100天(十七):017 逻辑回归梯度下降
- 1.1 万 Star!这个开源项目让马云、马斯克等大佬齐唱“蚂蚁呀嘿”