你的手機(jī)屏幕上莫名彈出一則廣告，當(dāng)點(diǎn)擊關(guān)閉按鈕時(shí)，廣告并沒有被關(guān)閉，反而進(jìn)入廣告頁面。上面一幕是許許多多手機(jī)用戶都曾遇到過的情景，也許一開始你還未曾在意，但不久后你會(huì)發(fā)現(xiàn)，手機(jī)不僅耗電快，流量似乎跑得比以往更多……這時(shí)你可能還不曾想到——你的手機(jī)已經(jīng)中病毒了。

　　從去年開始，一種名為悍馬(Hummer)的病毒“席卷”全球，一年時(shí)間內(nèi)感染8500多萬部手機(jī)，引起安全公司的高度關(guān)注。前不久，以色列安全解決方案供應(yīng)商Check Point與獵豹移動(dòng)安全分別出具分析報(bào)告，對病毒與背后的控制者來了一次大起底。

　　8500萬臺(tái)被掌控的手機(jī)

　　獵豹移動(dòng)安全實(shí)驗(yàn)室于7月發(fā)布了《“中國”制造：悍馬(Hummer)病毒家族技術(shù)分析報(bào)告》，報(bào)告顯示，悍馬病毒今年平均日活量達(dá)119萬，成為全球排名第一的手機(jī)病毒。“初次感染病毒的路徑有很多種，我們觀察到的是，用戶通過一些色情網(wǎng)站、App、不明來源廣告等感染?！鲍C豹移動(dòng)安全工程師李鐵軍對《IT時(shí)報(bào)》記者說道。

　　中毒之后，手機(jī)會(huì)頻繁彈出廣告，推廣手機(jī)游戲，甚至在后臺(tái)靜默安裝色情應(yīng)用，并繁衍病毒。獵豹移動(dòng)安全實(shí)驗(yàn)室介紹：“許多中毒用戶發(fā)現(xiàn)手機(jī)總是被莫名安裝很多軟件，卸載之后不久再次被安裝?！倍遥瑢I(yè)檢測發(fā)現(xiàn)，手機(jī)在安裝悍馬病毒App后的幾小時(shí)內(nèi)，訪問網(wǎng)絡(luò)鏈接數(shù)萬次，消耗網(wǎng)絡(luò)流量高達(dá)2GB，下載Apk超200個(gè)。根據(jù)CheckPoint預(yù)計(jì)，HummingBad每天都會(huì)推2000萬廣告內(nèi)容，安裝超過5萬個(gè)欺詐應(yīng)用。

　　其背后的公司通過廣告點(diǎn)擊量與應(yīng)用安裝進(jìn)行收費(fèi)，根據(jù)Check Point估算，惡意軟件每天從廣告點(diǎn)擊獲取超過3000美元的收益，而詐騙應(yīng)用的安裝則能獲取7500美元收益。換算下來，一個(gè)月30萬美元(200萬人民幣)左右。

　　李鐵軍表示：“該病毒已經(jīng)獲取root權(quán)限，所以它可以完全控制手機(jī)，幾乎不受任何限制。且病毒已經(jīng)深深地植入系統(tǒng)當(dāng)中，就算用戶‘恢復(fù)出廠設(shè)置’，也根本無法清除病毒?！?

　　在悍馬廣泛傳播的20多個(gè)國家和地區(qū)中，大部分在亞洲?！坝《取⒂∧岬葒遗c中國一樣，同屬于發(fā)展中國家，網(wǎng)民的上網(wǎng)安全意識和安全習(xí)慣較歐美國家弱，因此容易中招?！蹦壳坝《攘餍械氖笫謾C(jī)病毒里，有3種來自悍馬病毒家族。

　　看似“巧合”的對賭與病毒蔓延時(shí)機(jī)

　　通過獲取手機(jī)root權(quán)限進(jìn)行廣告游戲推廣安裝的病毒并不少見，令李鐵軍感到困惑的是，為什么悍馬病毒感染量會(huì)這么大?“感染量越大，被攔截的可能性就越大，這樣太容易引起安全公司的注意?！崩铊F軍說道，一般只為謀利的公司，會(huì)將感染量控制在一定范圍內(nèi)。2015年5月之前，悍馬病毒感染量一直處于幾萬臺(tái)的穩(wěn)定水平，但在此后開始激增。

　　悍馬病毒的控制者是誰?這個(gè)時(shí)間點(diǎn)有何特殊意義?隨著調(diào)查的深入，獵豹移動(dòng)與Check Point均認(rèn)為，中國公司微贏互動(dòng)就是站在悍馬病毒背后的人。微贏互動(dòng)是一家移動(dòng)互聯(lián)網(wǎng)廣告平臺(tái)服務(wù)提供商，于2015年6月，被明家科技收購。

　　明家科技是一家上市公司，6月在斥資10億收購微贏互動(dòng)的同時(shí)，與其簽訂一份對賭協(xié)議，微贏互動(dòng)承諾2015年至2017年，公司扣除非經(jīng)常性損益后凈利潤分別不低于7150萬元、9330萬元和12000萬元。而根據(jù)明家科技去年6月公布的《北京微贏互動(dòng)科技有限公司審計(jì)報(bào)告》，微贏互動(dòng)在2013年、2014年歸屬于母公司所有者的凈利潤分別為827.19萬元、4248.48萬元。這要求微贏互動(dòng)的利潤在2014年的基礎(chǔ)上分別提高68%、119%和182%。

　　協(xié)議顯示，如果微贏互動(dòng)未能實(shí)現(xiàn)承諾凈利潤，則李佳宇、張翔、陳陽等微贏股東應(yīng)對上市公司支付補(bǔ)償;若承諾期內(nèi)微贏互動(dòng)累計(jì)實(shí)際實(shí)現(xiàn)的凈利潤總和超出承諾，各方同意將超出部分的40%獎(jiǎng)勵(lì)給微贏互動(dòng)的經(jīng)營管理團(tuán)隊(duì)。

　　上述看似很高的利潤指標(biāo)，對微贏互動(dòng)而言，難度似乎并不大。明家科技2015年度財(cái)報(bào)披露，微贏互動(dòng)當(dāng)年?duì)I業(yè)收入翻番，歸屬于母公司所有者的凈利潤7585萬元，超過約定的7150萬。同樣截止到2015年底，悍馬病毒的數(shù)量已經(jīng)由年初僅幾萬臺(tái)的水平，達(dá)到120萬臺(tái)，今年3月達(dá)到峰值150萬臺(tái)。

　　不過，“在遭到曝光后，病毒活動(dòng)已經(jīng)停止。” 李鐵軍說道。

　　被隱藏的痕跡

　　在獵豹7月7日發(fā)布報(bào)告后，明家聯(lián)合7月9日發(fā)布聲明稱，微贏互動(dòng)從未制作或傳播或使用過HummingBad惡意代碼，該代碼更新、發(fā)回報(bào)告等運(yùn)營方式涉及的等12個(gè)域名并非微贏互動(dòng)所有;微贏互動(dòng)從未制作或傳播或使用過Hummer惡意代碼，該代碼涉及的兩個(gè)域名 hummermobi.com和已于2015年11月11日轉(zhuǎn)出，此后該域名持有人并非公司或公司員工。

　　在明確提供病毒下載與更新的域名中，有一個(gè)域名為******api.com。根據(jù)獵豹移動(dòng)安全實(shí)驗(yàn)室6月的whois查詢，此域名對應(yīng)的注冊郵箱為[email protected]，申請人為chenyang。通過此郵箱后在微博搜索，可以對應(yīng)到微博用戶Iadpush陳陽，在個(gè)人簡介里，陳陽自稱“iadpush cto”，而iadpush就是微贏互動(dòng)旗下的子公司。

　　同時(shí)，通過全國企業(yè)信用系統(tǒng)查詢顯示，上海昂真科技有限公司2016年2月變更前的法定代表人為陳陽。病毒域名的hummermobi.com和所有者同為上海昂真科技有限公司。

　　《IT時(shí)報(bào)》記者發(fā)現(xiàn)，目前******api.com域名已經(jīng)隱藏注冊郵箱與申請人信息。由此已經(jīng)很難再證明悍馬病毒與微贏互動(dòng)的關(guān)系。

　　記者手記

　　一個(gè)龐大又繁榮的地下黑產(chǎn)

　　手機(jī)病毒發(fā)展太快了。

　　2015年，獵豹移動(dòng)檢測到的病毒木馬樣本超過959萬，是2014年的三倍多。并非每一個(gè)病毒都能受到像悍馬這樣深入分析的“待遇”。大部分的情況，發(fā)現(xiàn)病毒后，放入病毒庫，查殺即可。只有碰到體量大、典型性的病毒才會(huì)挑出來進(jìn)行分析。但并非每一次的都如悍馬一帆風(fēng)順?！叭ツ?，我們就追過與悍馬類似的病毒，但查到深圳、珠海以后，因病毒主要在國外傳播，無法繼續(xù)深入下去。”

　　在記者調(diào)查中了解到，像這樣利用手機(jī)病毒推廣軟件、增加廣告點(diǎn)擊量的方式已經(jīng)成為常態(tài)。去年流行的兩大病毒Ghost Push和KK插件病毒，套路相似度很高。病毒不僅通過Google Play、第三方市場和網(wǎng)絡(luò)聯(lián)盟等多種方式獲取用戶，感染用戶手機(jī)后會(huì)彈出游戲、廣告等，借以賺取利潤，其主要危害地區(qū)均來自海外，“做病毒的容易銷毀證據(jù)，中國網(wǎng)絡(luò)執(zhí)法比較難。”李鐵軍表示，由于違法成本低，收益大，這類病毒控制者常常都位于中國。

　　獵豹移動(dòng)2015年報(bào)告中就已表明，這類手機(jī)病毒的產(chǎn)生和傳播過程多環(huán)節(jié)配合精密，形成了初步的產(chǎn)業(yè)化格局。這些控制者通常以建立移動(dòng)廣告公司為掩護(hù)，有的甚至獲得了風(fēng)險(xiǎn)投資。“即使被曝光，這些團(tuán)隊(duì)會(huì)隱姓埋名重操舊業(yè)，由于高利潤，做過黑產(chǎn)的人，不會(huì)老老實(shí)實(shí)賺辛苦錢?！崩铊F軍說道。

　　安卓手機(jī)病毒的生態(tài)環(huán)境，這是一個(gè)龐大又繁榮的地下黑產(chǎn)。