近日,猎豹移动向全球安卓用户发布安全警告,“幽灵推(Ghost Push)”病毒出现多个变种,截至发稿,该病毒变种的感染设备日活跃高达 90 多万(实际感染数量应远大于此),感染范围遍及 116 个国家。
该病毒入侵手机之后很难清除,它向中毒手机中大量安装游戏、工具等,赚取巨额推广费。据测算,目前已感染的手机每天可以给病毒集团带来大约 400 万美金的收益,其中游戏推广是最大的收益来源。
病毒通过 Goolge Play 等正规市场传播
猎豹移动安全专家介绍说,病毒主要通过正规应用市场进行传播。病毒开发者绕过应用市场的安全监控,把带有恶意代码以及广告组件的流行应用提交发布,目前在 Google Play 及国内多个应用市场都发现了带毒应用。截至发稿前,带毒应用已被下架。
带毒应用被用户下载之后,会自带 Root 工具,试图获取系统最高权限,以此来对抗安全软件的查杀。获取 Root 权限之后,带毒应用可以大量安装游戏、工具等商业应用,赚取巨额推广费,这些应用同样无法卸载或清除。
病毒集团获取日均 400 万美元收益
根据病毒服务器的推广报价单,每下载一个游戏,游戏开放商需要支付最高 3 美元、平均 1.8 美元的费用。游戏推广在病毒集团的推广业务中占据了 90%以上的比重。
从其推广应用的分析来看,平均每个应用的推广价格在 1.5 美元。研究人员研究了 10 余台中毒手机,这些手机每天平均被安装 3 个商业应用,则每台中毒手机、每天给病毒集团带来 4.5 美元的收益。按照目前 90 余万台中毒手机日活跃计算,病毒集团每天可以获取 400 万美元的收益。
东南亚是“幽灵推”重灾区
据统计,“幽灵推”变种病毒的主要受害者集中于印度、印尼等东南亚地区,墨西哥和俄罗斯也进入受害国家前五名。其中受害最严重的印度约有 15.8 万台手机被感染(日活跃),印尼也有 12.5 万左右。
在对已经截获的 4000 个样本分析后发现,其病毒域名的指挥与控制系统(CnC)包含了 4 个相关域名,基于域名相关信息,猜测攻击可能源于中国。