最近Check Point發(fā)布了一份非常詳細(xì)的報告，談到一款名為HummingBad的Android惡意程序。此惡意程序在行為方式上和先前一些相當(dāng)霸道的Android惡意程序類似。

不過它有幾大亮點：

• 其一背后操縱者來自中國重慶（注意下面還有地址哦…...）；

• 其二其感染范圍極為廣泛，Check Point研究人員表示，HummingBad估計已經(jīng)感染了8500萬臺設(shè)備。

HummingBad的實例增長

HummingBad幕后團(tuán)隊大曝光

Check Point在報告中將這款A(yù)ndroid惡意程序稱作HummingBad。這款惡意程序的作者是國內(nèi)的一家廣告公司，名叫微贏互動（Yingmob！這下火了）。Check Point在報告中毫不留情地揭露了這家公司的一些細(xì)節(jié)信息。

連工位都有??！

據(jù)說微贏互動內(nèi)部還是有好幾個團(tuán)隊在開發(fā)合法追蹤和廣告平臺的。而負(fù)責(zé)開發(fā)像HummingBad這樣惡意產(chǎn)品的團(tuán)隊名為“海外平臺開發(fā)團(tuán)隊”，這個團(tuán)隊內(nèi)部有4個小組，共25名成員。

該團(tuán)隊有三個開發(fā)項目，分別是Eomobi（就是HummingBad惡意組件產(chǎn)品）、Hummer Offers（廣告服務(wù)器分析平臺）、Hummer啟動器（這實際上是個廣告服務(wù)Android應(yīng)用開發(fā)包），共開發(fā)6條產(chǎn)品線：

1.Ebomi

2.Hummer啟動器

3.Root軟件開發(fā)套裝（SDK）

4.Hummer Offers

5.MAT

6.Unitemobi

這家公司其實算不上惡意程序的新人。早在2015年的時候，Palo Alto曾經(jīng)發(fā)布過一款iOS惡意程序YiSpecter的報告。當(dāng)時Palo Alto就認(rèn)為YiSpecter應(yīng)該與微贏互動有關(guān)，因為這款惡意程序簽名就是微贏企業(yè)證書。

Check Point這次的報告則提到HummingBad和YiSpecter相比，有著相同的C&C服務(wù)器地址，行為方式也很相似。另外HummingBad內(nèi)部還包含QVOD快播文檔（Check Point直接將之稱作iOS色情播放器，淚奔…...），這其實跟Yispecter也有關(guān)聯(lián)。

HummingBad的目標(biāo)當(dāng)然是賺錢！

CheckPoint預(yù)計，HummingBad每天都會推2000萬廣告內(nèi)容，其點擊率大約為12.5%，也就是說每天的廣告點擊量約為250萬次。此外，HummingBad每天還安裝超過50000個欺詐應(yīng)用。

預(yù)計微贏互動每天光從廣告點擊，就能獲取超過3000美元的收益，而詐騙應(yīng)用的安裝則能獲取7500美元/天。換算下來一個月就是30萬美元，一年則為360萬美元。

當(dāng)前HummingBad已經(jīng)感染了8500萬臺Android設(shè)備。不止于此，由于這款惡意程序會非法對Android設(shè)備進(jìn)行Root操作，實現(xiàn)各類惡意程序的推送，這些設(shè)備幾乎就是被徹底掌控的。這些設(shè)備上的數(shù)據(jù)風(fēng)險自不必多說，將它們組成僵尸網(wǎng)絡(luò)，發(fā)起攻擊，或者將這些訪問權(quán)限賣到黑市，都全然不在話下。

微贏互動用他們自家的Umeng服務(wù)來追蹤HummingBad的感染情況（專業(yè)?。?。從Umeng的控制面板來看，這家公司“注冊”了近200款應(yīng)用，預(yù)計其中25%都是惡意程序，用于分發(fā)HummingBad惡意程序。上面這張圖也來自Umeng的統(tǒng)計，從去年8月份開始，其活躍性成長表現(xiàn)還是相當(dāng)不錯的。

從HummingBad當(dāng)前影響的國家地區(qū)來看，這款惡意程序當(dāng)前應(yīng)該算是個跨國惡意程序，雖然主要感染地區(qū)還是在中國和印度，其他各國的感染數(shù)量也是相當(dāng)可觀的。

惡意行為分析

這次的報告中提到，HummingBad首次感染方法應(yīng)該是隱藏下載攻擊（drive-by download），部分成人內(nèi)容站點也提供了相應(yīng)的惡意payload。

而HummingBad本身包含了兩個主要組成部分，其中一個組件負(fù)責(zé)對Android設(shè)備進(jìn)行Root操作，Rootkit會考慮利用多種不同的漏洞。Root成功后，攻擊者就能完全獲取設(shè)備的訪問權(quán)限。如果Root失敗，第二套組件就會生成一個欺騙性的系統(tǒng)升級通知，欺騙用戶讓HummingBad獲取系統(tǒng)級權(quán)限（Root還是關(guān)鍵呀?。?。無論Root是否成功，HummingBad都會盡可能下載大量欺詐應(yīng)用。

模擬點擊的代碼

整套HummingBad包含好幾個惡意組件。首要的組件名為SSP，其作用是顯示非法廣告、安裝欺詐應(yīng)用。該組件通過4個事件觸發(fā)：設(shè)備啟動、屏幕開啟/關(guān)閉、設(shè)備連接任意變化、用戶檢測（聽說過Android系統(tǒng)中的Receiver嗎？這類行為其實是完全合法的）。

觸發(fā)過后，SSP開啟名為Se的服務(wù)，初始化惡意邏輯，并且開啟廣告網(wǎng)絡(luò)。SSP還會開啟計時器，每10秒鐘計劃一次LockTask，如果滿足相應(yīng)條件（比如互聯(lián)網(wǎng)連接、從服務(wù)器獲取到設(shè)置，時間延遲等），LockTask就會重啟Se服務(wù)，并且啟動MainActivity進(jìn)程，激活惡意payload。

MainActivity進(jìn)程開始之后，惡意程序會顯示廣告banner，廣告上面會有個關(guān)閉按鈕。實際上惡意程序會阻止用戶回到Home頁，或者是進(jìn)行返回操作，這樣用戶就只能點擊該廣告了。用戶點擊所謂的“關(guān)閉”按鈕，實際上也是點擊一次廣告操作。在點擊廣告之后，SSP組件就會向服務(wù)器發(fā)出請求，給APK返回一個鏈接，SSP隨后再從服務(wù)器下載該APK文件（就是Android安裝文件嘛）。

那個“關(guān)閉”按鈕相關(guān)代碼

APK文件下載完成后，惡意應(yīng)用會檢查設(shè)備是否已經(jīng)Root。如果已經(jīng)Root，則默默地安裝下載的APK文件；如果沒有Root的話，SSP會彈出用戶對話框，仍舊企圖進(jìn)行安裝操作。

下載的APK文件安裝完成后，SSP再啟動該程序，并且廣播INSTALL_BEFERRER，通過從服務(wù)器獲取到的信息來偽造Google Play的安裝，并從廣告網(wǎng)絡(luò)中獲取廣告收益（難道這不是僅針對國際用戶的么？）。

作為一個合格的惡意程序，肯定還要獲取更新、發(fā)回報告。SSP會從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的，值大概是這樣的：

除此之外，SSP還有一些行為，比如具體的Google Play進(jìn)程注入（SSP能夠向Google Play進(jìn)程注入一個庫，惡意程序也就能夠偽裝Google Play商店中安裝、購買、接受點擊操作；這里用到的是比較知名的ptrace，SSP能夠用ptrace來調(diào)用控制其他應(yīng)用，讀取、寫入內(nèi)存等操作）；還有RightCore惡意組件，其實應(yīng)該算是SSP的一個早期版本；CAP組件采用比較復(fù)雜的技術(shù)負(fù)責(zé)安裝欺詐應(yīng)用，實現(xiàn)欺騙IMEI碼注入，執(zhí)行Google Play的點擊模擬操作等等。

對這些感興趣的同學(xué)可以點擊這里，查看Check Point提供的詳情。

在Check Point看來，微贏互動可能是首個曝光到大眾面前、如此高度組織化推惡意程序的團(tuán)隊?；蛟S這種趨勢未來還會持續(xù)，引來其他團(tuán)隊的學(xué)習(xí)，實現(xiàn)復(fù)雜攻擊的獨立化運營。甚至將這樣掌控僵尸網(wǎng)絡(luò)的權(quán)限，提供給某些組織或政府機(jī)關(guān)，情況就更加復(fù)雜了。

雷鋒網(wǎng)注：本文原創(chuàng)作者歐陽洋蔥，由FreeBuf投稿發(fā)布雷鋒網(wǎng)，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。