又一份关于Android恶意软件在全球肆虐的报告发布了。本月早些时候,Check Point的安全研究人员发表了一份报告,一个新发现的被称为HummingBad的恶意软件据报道已经感染了全世界多达1000万台设备。

根据这份报告,该恶意软件是由一个叫做YingMob的中国组织运行,该组织利用恶意软件安装欺诈程序并生成虚假广告收入。Check Point指出“该组织纪律严明,分工明确。拥有25名员工,员工分为四个独立团体负责开发HummingBad恶意组件。”更重要的是,该组织似乎是非常成功的,据说他们的恶意事业带来每月高达300000美元的收入。现在的情况是,大多数受影响的设备位于中国和印度。

至于该恶意软件如何操作和管理进入一个特定的设备,报告指出,HummingBad开始时作为一个“下载型攻击”,即当用户访问恶意网站,例如诸多成人网站时,该恶意软件就被推送到用户的设备上。

HummingBad使用一个复杂的拥有两个主要组件的多级攻击链。第一个组件试图用rootkit利用多个漏洞来获得设备的root访问权限。如果成功,攻击者获得设备的完全访问权限。如果获取root权限失败,第二个组件使用一个假的系统更新通知,欺骗用户授予HummingBad系统级权限。

无论是否成功获得root权限,HummingBad都会尽可能多的下载欺诈应用到设备上。HummingBad下载的恶意程序是由一些恶意的组件组合而成,其中有许多都是相同功能的不同变种。在某些情况下, 当受感染的应用程序安装以后,这些恶意组件会动态地下载到设备上。

安装成功之后,恶意软件会在用户设备上弹出带有“关闭”按钮的广告横幅,而实际上,这个关闭按钮并没有用。值得注意的是,广告横幅不能被关掉,直到点击并打开该广告之后才能被关掉。

该恶意软件在世界范围内的分布如下图所示:

至于在不同Android版本上的分布,KitKat(KitKat是Google Android 4.4的代号)用户受到的影响最广泛。

Check Point关于HummingBad恶意软件的完整报告可以通过下面的链接获取:https://bgr.com/2016/07/05/android-malware-hummingbad-10-million-devices/