信息來源：FreeBuf  

最近Check Point發(fā)布了一份非常詳細(xì)的報告，談到一款名為HummingBad的Android惡意程序。此惡意程序在行為方式上和先前一些相當(dāng)霸道的Android惡意程序類似，不過它有幾大亮點(diǎn)：其一背后操縱者來自中國重慶（注意下面還有地址哦…）；其二其感染范圍極為廣泛，Check Point研究人員表示，HummingBad顧及已經(jīng)感染了8500萬臺設(shè)備。

HummingBad的實(shí)例增長

HummingBad幕后團(tuán)隊(duì)大曝光

Check Point在報告中將這款A(yù)ndroid惡意程序稱作HummingBad。這款惡意程序的作者是國內(nèi)的一家廣告公司，名叫微贏互動（Yingmob！這下火了?。?。Check Point在報告中毫不留情地揭露了這家公司的一些細(xì)節(jié)信息。

連工位都有啊！

據(jù)說微贏互動內(nèi)部還是有好幾個團(tuán)隊(duì)在開發(fā)合法追蹤和廣告平臺的。而負(fù)責(zé)開發(fā)像HummingBad這樣惡意產(chǎn)品的團(tuán)隊(duì)名為“海外平臺開發(fā)團(tuán)隊(duì)”，這個團(tuán)隊(duì)內(nèi)部有4個小組，共25名成員。

該團(tuán)隊(duì)有三個開發(fā)項(xiàng)目，分別是Eomobi（就是HummingBad惡意組件產(chǎn)品）、Hummer Offers（廣告服務(wù)器分析平臺）、Hummer啟動器（這實(shí)際上是個廣告服務(wù)Android應(yīng)用開發(fā)包），共開發(fā)6條產(chǎn)品線：

1.Ebomi

2.Hummer啟動器

3.Root軟件開發(fā)套裝（SDK）

4.Hummer Offers

5.MAT

6.Unitemobi

這家公司其實(shí)算不上惡意程序的新人。早在2015年的時候，Palo Alto曾經(jīng)發(fā)布過一款iOS惡意程序YiSpecter的報告。當(dāng)時Palo Alto就認(rèn)為YiSpecter應(yīng)該與微贏互動有關(guān)，因?yàn)檫@款惡意程序簽名就是微贏企業(yè)證書。

Check Point這次的報告則提到HummingBad和YiSpecter相比，有著相同的C&C服務(wù)器地址，行為方式也很相似。另外HummingBad內(nèi)部還包含QVOD快播文檔（Check Point直接將之稱作iOS色情播放器，淚奔…），這其實(shí)跟Yispecter也有關(guān)聯(lián)。

HummingBad的目標(biāo)當(dāng)然是賺錢！

CheckPoint預(yù)計(jì)，HummingBad每天都會推2000萬廣告內(nèi)容，其點(diǎn)擊率大約為12.5%，也就是說每天的廣告點(diǎn)擊量約為250萬次。此外，HummingBad每天還安裝超過50000個欺詐應(yīng)用。

預(yù)計(jì)微贏互動每天光從廣告點(diǎn)擊，就能獲取超過3000美元的收益，而詐騙應(yīng)用的安裝則能獲取7500美元/天。換算下來一個月就是30萬美元，一年則為360萬美元。

當(dāng)前HummingBad已經(jīng)感染了8500萬臺Android設(shè)備。不止于此，由于這款惡意程序會非法對Android設(shè)備進(jìn)行Root操作，實(shí)現(xiàn)各類惡意程序的推送，這些設(shè)備幾乎就是被徹底掌控的。這些設(shè)備上的數(shù)據(jù)風(fēng)險自不必多說，將它們組成僵尸網(wǎng)絡(luò)，發(fā)起攻擊，或者將這些訪問權(quán)限賣到黑市，都全然不在話下。

微贏互動用他們自家的Umeng服務(wù)來追蹤HummingBad的感染情況（專業(yè)！）。從Umeng的控制面板來看，這家公司“注冊”了近200款應(yīng)用，預(yù)計(jì)其中25%都是惡意程序，用于分發(fā)HummingBad惡意程序。上面這張圖也來自Umeng的統(tǒng)計(jì)，從去年8月份開始，其活躍性成長表現(xiàn)還是相當(dāng)不錯的。

從HummingBad當(dāng)前影響的國家地區(qū)來看，這款惡意程序當(dāng)前應(yīng)該算是個跨國惡意程序，雖然主要感染地區(qū)還是在中國和印度，其他各國的感染數(shù)量也是相當(dāng)可觀的。

惡意行為分析

這次的報告中提到，HummingBad首次感染方法應(yīng)該是隱藏下載攻擊（drive-by download），部分成人內(nèi)容站點(diǎn)也提供了相應(yīng)的惡意payload。

而HummingBad本身包含了兩個主要組成部分，其中一個組件負(fù)責(zé)對Android設(shè)備進(jìn)行Root操作，Rootkit會考慮利用多種不同的漏洞。Root成功后，攻擊者就能完全獲取設(shè)備的訪問權(quán)限。如果Root失敗，第二套組件就會生成一個欺騙性的系統(tǒng)升級通知，欺騙用戶讓HummingBad獲取系統(tǒng)級權(quán)限（Root還是關(guān)鍵呀?。?。無論Root是否成功，HummingBad都會盡可能下載大量欺詐應(yīng)用。

模擬點(diǎn)擊的代碼

整套HummingBad包含好幾個惡意組件。首要的組件名為SSP，其作用是顯示非法廣告、安裝欺詐應(yīng)用。該組件通過4個事件觸發(fā)：設(shè)備啟動、屏幕開啟/關(guān)閉、設(shè)備連接任意變化、用戶檢測（聽說過Android系統(tǒng)中的Receiver嗎？這類行為其實(shí)是完全合法的）。

觸發(fā)過后，SSP開啟名為Se的服務(wù)，初始化惡意邏輯，并且開啟廣告網(wǎng)絡(luò)。SSP還會開啟計(jì)時器，每10秒鐘計(jì)劃一次LockTask，如果滿足相應(yīng)條件（比如互聯(lián)網(wǎng)連接、從服務(wù)器獲取到設(shè)置，時間延遲等），LockTask就會重啟Se服務(wù)，并且啟動MainActivity進(jìn)程，激活惡意payload。

MainActivity進(jìn)程開始之后，惡意程序會顯示廣告banner，廣告上面會有個關(guān)閉按鈕。實(shí)際上惡意程序會阻止用戶回到Home頁，或者是進(jìn)行返回操作，這樣用戶就只能點(diǎn)擊該廣告了。用戶點(diǎn)擊所謂的“關(guān)閉”按鈕，實(shí)際上也是點(diǎn)擊一次廣告操作。在點(diǎn)擊廣告之后，SSP組件就會向服務(wù)器發(fā)出請求，給APK返回一個鏈接，SSP隨后再從服務(wù)器下載該APK文件（就是Android安裝文件嘛）。

那個“關(guān)閉”按鈕相關(guān)代碼

APK文件下載完成后，惡意應(yīng)用會檢查設(shè)備是否已經(jīng)Root。如果已經(jīng)Root，則默默地安裝下載的APK文件；如果沒有Root的話，SSP會彈出用戶對話框，仍舊企圖進(jìn)行安裝操作。

下載的APK文件安裝完成后，SSP再啟動該程序，并且廣播INSTALL_BEFERRER，通過從服務(wù)器獲取到的信息來偽造Google Play的安裝，并從廣告網(wǎng)絡(luò)中獲取廣告收益（難道這不是僅針對國際用戶的么？）。

作為一個合格的惡意程序，肯定還要獲取更新、發(fā)回報告。SSP會從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的，值大概是這樣的：

	

		? {"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}
	

	

		? {"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}
	

	

		? {"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think
	

	

		? {"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused
	

	

		? {"id":7,"name":"1","master":"1","slave":"1"} //and this
	

	

		? {"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}
	

	

		? {"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}
	

	

		? {"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}
	

	

		? {"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	

	

		? {"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	

	

		? {"id":14,"name":"易盟-啟彈","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	

	

		? {"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}
	

	

		? {"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	

	

		? {"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}
	

	

		? {"id":18,"name":"1mob-xin（點(diǎn)滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	

除此之外，SSP還有一些行為，比如具體的Google Play進(jìn)程注入（SSP能夠向Google Play進(jìn)程注入一個庫，惡意程序也就能夠偽裝Google Play商店中安裝、購買、接受點(diǎn)擊操作；這里用到的是比較知名的ptrace，SSP能夠用ptrace來調(diào)用控制其他應(yīng)用，讀取、寫入內(nèi)存等操作）；還有RightCore惡意組件，其實(shí)應(yīng)該算是SSP的一個早期版本；CAP組件采用比較復(fù)雜的技術(shù)負(fù)責(zé)安裝欺詐應(yīng)用，實(shí)現(xiàn)欺騙IMEI碼注入，執(zhí)行Google Play的點(diǎn)擊模擬操作等等。

對這些感興趣的同學(xué)可以點(diǎn)擊這里，查看Check Point提供的詳情。

在Check Point看來，微贏互動可能是首個曝光到大眾面前、如此高度組織化推惡意程序的團(tuán)隊(duì)?；蛟S這種趨勢未來還會持續(xù)，引來其他團(tuán)隊(duì)的學(xué)習(xí)，實(shí)現(xiàn)復(fù)雜攻擊的獨(dú)立化運(yùn)營。甚至將這樣掌控僵尸網(wǎng)絡(luò)的權(quán)限，提供給某些組織或政府機(jī)關(guān)，情況就更加復(fù)雜了。

* FreeBuf官方報道，本文原創(chuàng)作者：歐陽洋蔥，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）