?　　一家中國公司很可能制造出了感染量達全球第一的安卓手機病毒?！边@是近日,包括移動安全廠商獵豹移動、Check　Point、Lookout等先后發(fā)出的一項安全警報所指向的可能性結(jié)果。

　　這一被命名為悍馬(Hummer)的病毒累計感染量達到9388萬,今年以來,全球日活峰值超140萬,平均日活119萬,超過以往其他所有手機病毒的感染量。

　　日賺50萬美元黑錢

　　悍馬病毒最初的樣本是在2014年被發(fā)現(xiàn)。獵豹移動安全專家李鐵軍告訴記者,當時悍馬病毒感染量較小,2015年后開始上升,到了2016年上升明顯。尤其在今年年初時,獵豹移動安全實驗室對印度top　10的手機病毒樣本進行了梳理,結(jié)果發(fā)現(xiàn)這些病毒樣本存在家族關(guān)系,這些病毒樣本均采用hummer系列域名為升級服務(wù)器,獵豹移動安全實驗室將該病毒家族命名為“悍馬(hummer)”。

　　Check　Point也在博客中稱,從今年2月開始,他們留意Yingmob(中文名:微贏互動)已有5個月時間。

　　具體而言,悍馬病毒往往是捆綁在一些小功能的軟件中,欺騙用戶進行下載安裝。用戶的手機一旦被悍馬病毒感染,會首先ROOT中毒手機獲得系統(tǒng)最高控制權(quán),再頻繁彈出廣告,后臺下載靜默安裝大量同類變種、推廣應(yīng)用以及其他病毒,中毒手機用戶會損失大量手機流量費。

　　由于病毒得到系統(tǒng)最高控制權(quán),一般手機殺毒軟件無法徹底清除悍馬病毒,即使將手機恢復出廠設(shè)置,以及進入recovery系統(tǒng)wipe　data(安卓用戶熟悉的手機雙清)都無法清除。

　　而這一病毒全球累計感染量驚人地超過了9000多萬。根據(jù)獵豹移動安全實驗室監(jiān)測數(shù)據(jù),僅在2016年1～6月,悍馬(Hummer)病毒平均日活119萬,超過其他所有手機病毒的感染量。如果以每臺中毒手機每天僅安裝一個App最低收入0.5美元估算,悍馬病毒團伙每天獲利超50萬美元。

　　從全球范圍看,悍馬(hummer)手機病毒感染用戶中,印度、印尼、土耳其位居前三,中國居第四。

　　其中,印度是悍馬病毒感染量最高的國家,在印度肆虐的十大手機病毒中,第2、3名是悍馬病毒家族成員,第6名是悍馬病毒推廣安裝的其他病毒。

　　而Check　Point數(shù)據(jù)也稱悍馬病毒的感染量超過8500萬,其中大多數(shù)受到感染的設(shè)備目前都在中國和印度,兩國已經(jīng)發(fā)現(xiàn)的案例都超過了100萬。美國估計也有大約25萬部安卓設(shè)備受到感染。

　　李鐵軍告訴記者,獵豹移動安全專家在一部測試手機安裝該病毒App,結(jié)果病毒在短短幾個小時內(nèi),訪問網(wǎng)絡(luò)連接數(shù)萬次。消耗用網(wǎng)絡(luò)流量2GB,下載apk超過200個。

　　源頭指向中國公司

　　通過對病毒樣本的分析,獵豹移動安全專家追蹤到用于病毒升級的域名,自2016年年初開始,悍馬病毒投入cscs100.com等12個域名用于病毒更新和推廣指令下發(fā)。

　　在病毒域名的whois(是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議)信息中,有兩家是商業(yè)廣告公司的網(wǎng)站:hummermobi和hummeroffers,注冊人是“chenyang”。經(jīng)過查閱上市公司公開資料,這兩個域名屬于上海昂真科技有限公司,該公司為北京微贏互動科技有限公司在上海的全資子公司。

　　記者查詢工商注冊資料,上海昂真科技有限公司重慶分公司的法人代表叫陳陽,是兩個病毒更新域名的實際持有人。

　　而注冊這些域名使用的郵箱,被獵豹安全技術(shù)人員發(fā)現(xiàn)用于新浪微博的用戶賬號,賬號名分別包括“Iadpush陳陽”和“McVivi_Vip”,微博簡介為IAdPush員工。查閱公開資料不難發(fā)現(xiàn),IAdPush是微贏互動旗下的廣告平臺,主營業(yè)務(wù)為移動廣告。

　　根據(jù)上市公司已公開信息,微贏互動的聯(lián)合創(chuàng)始人之一陳陽與上述提到的“陳陽”重名,是該公司負責技術(shù)的CTO,一度名列上市公司明家聯(lián)合的第十大股東。

　　獵豹移動追蹤到與微博名為“McVivi_Vip”相關(guān)的某網(wǎng)盤,其中有大量關(guān)于該公司制作惡意程序的內(nèi)部文檔。

　　此外,在病毒域名的注冊資料中,發(fā)現(xiàn)地址信息“重慶市渝中區(qū)大溪溝星都大廈5層”,這一地址也是微贏互動公司重慶分公司的辦公地址。

　　更意外的是,該病毒組織員工安全意識薄弱,把密碼公開放到代碼托管網(wǎng)站SourceForge.net上。悍馬病毒制造者員工建立的賬號在SourceForge平臺上傳了大量內(nèi)部資料,包括廣告后臺使用流程(這個后臺同時也是病毒的升級地址)等機密文件,甚至包括App測試流程、KPI考核文檔等。

　　截至記者截稿時止,針對疑造手機病毒一事,明家聯(lián)合和微贏互動并未對外回應(yīng)?！?jù)第一財經(jīng) （來源：半島網(wǎng)-半島都市報）