“一家中國公司很可能制造出了感染量達(dá)全球第一的安卓手機(jī)病毒。”

　　這是近日，包括移動(dòng)安全廠商獵豹移動(dòng)、Check Point、Lookout等先后發(fā)出的一項(xiàng)安全警報(bào)所指向的可能性結(jié)果。

　　根據(jù)病毒傳播主服務(wù)器信息，這一病毒被命名為悍馬（Hummer）病毒。目前悍馬病毒的累計(jì)感染量達(dá)到9388萬，今年以來，全球日活峰值超140萬，平均日活119萬，超過以往其他所有手機(jī)病毒的感染量。獵豹移動(dòng)估算，以每臺(tái)中毒手機(jī)每天僅安裝一個(gè)App最低收入0.5美元估算，悍馬病毒團(tuán)伙每天獲利超50萬美元。

　　“悍馬病毒（Hummer）可以說是有史以來感染數(shù)量最大的手機(jī)病毒。”獵豹移動(dòng)安全專家李鐵軍在接受第一財(cái)經(jīng)記者采訪時(shí)說。此前，大部分有影響的病毒，其感染量在20-30萬的級(jí)別，去年感染數(shù)量較大的病毒幽靈推是近100萬日活。

　　而在對(duì)這一病毒樣本仔細(xì)分析之后，第一財(cái)經(jīng)記者發(fā)現(xiàn)，多條線索都指向同一家公司——微贏互動(dòng)，該公司在2015年被A股上市公司明家聯(lián)合（證券代碼：300242）收購。

　　截至記者截稿時(shí)止，微贏互動(dòng)并未對(duì)外回應(yīng)。針對(duì)悍馬病毒及其幕后公司，獵豹移動(dòng)稱已在今年6月份就上報(bào)國家病毒監(jiān)測(cè)中心，目前已經(jīng)有了用戶端的安全解決方案。

　　日賺50萬美元黑錢

　　悍馬病毒最初的樣本是在2014年被發(fā)現(xiàn)。李鐵軍告訴第一財(cái)經(jīng)記者，當(dāng)時(shí)悍馬病毒感染量較小，2015年后開始上升，到了2016年上升明顯。尤其在今年年初時(shí)，獵豹移動(dòng)安全實(shí)驗(yàn)室對(duì)印度top 10的手機(jī)病毒樣本進(jìn)行了梳理，結(jié)果發(fā)現(xiàn)這些病毒樣本存在家族關(guān)系，這些病毒樣本均采用hummer系列域名為升級(jí)服務(wù)器，獵豹移動(dòng)安全實(shí)驗(yàn)室將該病毒家族命名為“悍馬（hummer）”。

　　Check Point也在博客中稱，從今年2月開始，他們留意Yingmob(中文名:微贏互動(dòng))已有5個(gè)月時(shí)間。

　　具體而言，悍馬病毒往往是捆綁在一些小功能的軟件中，欺騙用戶進(jìn)行下載安裝。用戶的手機(jī)一旦被悍馬病毒感染，會(huì)首先ROOT中毒手機(jī)獲得系統(tǒng)最高控制權(quán)，再頻繁彈出廣告，后臺(tái)下載靜默安裝大量同類變種、推廣應(yīng)用、 以及其他病毒，中毒手機(jī)用戶會(huì)損失大量手機(jī)流量費(fèi)。

　　由于病毒得到系統(tǒng)最高控制權(quán)，一般手機(jī)殺毒軟件無法徹底清除悍馬病毒，即使將手機(jī)恢復(fù)出廠設(shè)置，以及進(jìn)入recovery系統(tǒng)wipe data（安卓用戶熟悉的手機(jī)雙清）都無法清除。

　　而這一病毒全球累計(jì)感染量驚人地超過了9000多萬。根據(jù)獵豹移動(dòng)安全實(shí)驗(yàn)室監(jiān)測(cè)數(shù)據(jù)，僅在2016年1-6月，悍馬（Hummer）病毒平均日活119萬，超過其他所有手機(jī)病毒的感染量。如果以每臺(tái)中毒手機(jī)每天僅安裝一個(gè)App最低收入0.5美元估算，悍馬病毒團(tuán)伙每天獲利超50萬美元。

　　從全球范圍看，悍馬（hummer）手機(jī)病毒感染用戶中，印度、印尼、土耳其位居前三，中國居第4。

　　其中，印度是悍馬病毒感染量最高的國家，在印度肆虐的十大手機(jī)病毒中，第2、3名是悍馬病毒家族成員，第6名是悍馬病毒推廣安裝的其他病毒。

　　而Check Point數(shù)據(jù)也稱悍馬病毒的感染量超過8500萬，其中大多數(shù)受到感染的設(shè)備目前都在中國和印度，兩國已經(jīng)發(fā)現(xiàn)的案例都超過了100萬。美國估計(jì)也有大約25萬部安卓設(shè)備受到感染 。

　　這些病毒自帶ROOT模塊，最新變種擁有18套不同的ROOT方案，一旦手機(jī)被感染，病毒即獲得最高系統(tǒng)權(quán)限，因而一般的毒查殺方法均不能徹底清除。

　　中毒之后，手機(jī)會(huì)頻繁彈出廣告影響正常操作。病毒會(huì)推廣手機(jī)游戲，甚至在后臺(tái)靜默安裝色情應(yīng)用，許多中毒用戶發(fā)現(xiàn)手機(jī)總是被莫名安裝很多軟件，卸載之后不久再次被安裝。

　　李鐵軍告訴記者，獵豹移動(dòng)安全專家在一部測(cè)試手機(jī)安裝該病毒App，結(jié)果病毒在短短幾個(gè)小時(shí)內(nèi)，訪問網(wǎng)絡(luò)連接數(shù)萬次。消耗用網(wǎng)絡(luò)流量2GB，下載apk超過200個(gè)。

　　病毒源頭指向中國公司

　　通過對(duì)病毒樣本的分析，獵豹移動(dòng)安全專家追蹤到用于病毒升級(jí)的域名，自2016年年初開始，悍馬病毒投入cscs100.com等12個(gè)域名用于病毒更新和推廣指令下發(fā)。

　　在病毒域名的whois（是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議）信息中，有兩家是商業(yè)廣告公司的網(wǎng)站： hummermobi 和hummeroffers，注冊(cè)人是“chenyang” 。經(jīng)過查閱上市公司公開資料，這兩個(gè)域名屬于上海昂真科技有限公司，該公司為北京微贏互動(dòng)科技有限公司在上海的全資子公司。

　　記者查詢工商注冊(cè)資料，上海昂真科技有限公司重慶分公司的法人代表叫陳陽，是兩個(gè)病毒更新域名的實(shí)際持有人。

　　而注冊(cè)這些域名使用的郵箱，被獵豹安全技術(shù)人員發(fā)現(xiàn)用于新浪微博的用戶賬號(hào)，賬號(hào)名分別包括“Iadpush陳陽”和“McVivi_Vip”，微博簡(jiǎn)介為IAdPush員工。查閱公開資料不難發(fā)現(xiàn)，IAdPush是微贏互動(dòng)旗下的廣告平臺(tái)，主營業(yè)務(wù)為移動(dòng)廣告。

　　根據(jù)上市公司已公開信息，微贏互動(dòng)的聯(lián)合創(chuàng)始人之一陳陽與之重名，是該公司負(fù)責(zé)技術(shù)的CTO，名列上市公司明家聯(lián)合的第十大股東，以現(xiàn)有股票價(jià)格計(jì)算，其身價(jià)約在1.5億元。

　　獵豹移動(dòng)追蹤到與微博名為“McVivi_Vip”相關(guān)的某網(wǎng)盤，其中有大量關(guān)于該公司制作惡意程序的內(nèi)部文檔。

　　此外，在病毒域名的注冊(cè)資料中，發(fā)現(xiàn)地址信息“重慶市渝中區(qū)大溪溝星都大廈5層”，這一地址正是微贏互動(dòng)公司重慶分公司的辦公地址。

　　更意外的是，該病毒組織員工安全意識(shí)薄弱，竟然把密碼公開放到代碼托管網(wǎng)站SourceForge.net上。悍馬病毒制造者員工建立的賬號(hào)在SourceForge平臺(tái)上傳了大量?jī)?nèi)部資料，包括廣告后臺(tái)使用流程（這個(gè)后臺(tái)同時(shí)也是病毒的升級(jí)地址）等機(jī)密文件，甚至包括App測(cè)試流程、KPI考核文檔等。

　　“通常做手機(jī)病毒的人員都很注意隱藏，這種真名實(shí)姓注冊(cè)域名來經(jīng)營管理病毒的很少見。”李鐵軍說。

　　至此，病毒制造者的線索，均指向上市公司明家聯(lián)合的全資子公司微贏互動(dòng)。

　　而Check Point也在博客中透露微贏互動(dòng)的運(yùn)作方式：其選擇與一家合法的國內(nèi)廣告分析企業(yè)合作，分享其資源和技術(shù)。該團(tuán)伙具備高度組織性，擁有25名員工，分成四組負(fù)責(zé)開發(fā)這一手機(jī)病毒。其運(yùn)作方式與曾經(jīng)主要針對(duì)中國國內(nèi)iOS用戶的YiSpecter病毒很像，Check Point認(rèn)為，兩者之間的高度雷同決不是巧合。

　　從病毒樣本的時(shí)間節(jié)點(diǎn)上，獵豹移動(dòng)安全專家也發(fā)現(xiàn)了一些巧合之處：2015年5月，病毒1.0版本被截獲，僅有2個(gè)樣本，短短兩個(gè)多月之后，樣本數(shù)量增加到近200個(gè)；通過搜索引擎發(fā)現(xiàn)，2015年6月微贏互動(dòng)被明家聯(lián)合（原明家科技）收購。

　　截至記者截稿時(shí)止，針對(duì)疑造手機(jī)病毒一事，明家聯(lián)合和微贏互動(dòng)并未對(duì)外回應(yīng)。

    每日A股操作策略和漲停股都會(huì)在我的微信號(hào)里發(fā)布，掃描下方的二維碼（或搜索微信公眾號(hào)：laochengucanhui ）關(guān)注我的股參會(huì)。