▲被 HummingBad 感染数量最多的前 20 个国家。(Source : Check Point)
HummingBad 以Drive-by download 的方式攻击,借由在网页中嵌入下载码,在使用者浏览网页时不知不觉得把恶意软件下载至手机内,而当 HummingBad 的 rootkits 成功植入手机取得手机上的系统管理权限后,他就会在使用者用手机的过程产生诈骗的广告流量,也会安装额外的诈骗 APP。
Check Point 认为 Yingmob 是一个分工优良的团体,他们不只有团队制作各种恶意软件,还有团队开发追踪广告的平台。Check Point 还发现,Yingmob 甚至与中国境内合法的广告分析公司合作,分享资源和技术。Check Point 没直接指明两者之间的关系,但推测下来,颇有广告公司利用恶意软件投放广告,冲广告量流量的意味。
现在 HummingBad 目的只为了赚钱,但 Check Point 特别强调,那只是“现在”。Yingmob 可以利用 HummingBad 做冲广告流量、冲下载量更多、更可怕的事,像是把被感染装置变成 botnet(僵尸网络),作为网络攻击用途;又或者是搜集每个装置上的资料做成数据库,若遇上比较有价值的资料,就可以得到高敏感度资料,或者借由他的 相关资料对他的其他装置进行针对性攻击、获取更有价值的资料;也可以控制使用者的装置,变成勒索软件赚入更多的钱。
Check Point 的结论是,Yingmob 是第一个分工优良,营收充足的恶意软件组织,但就这般赚大钱的态势来看,Yingmob 不会是最后一个,未来恶意软件开发组织只会越来越多,并用更精致的方式进行更大的攻击。
资料来源:
- V3 : HummingBad malware infects 85 million Android devices
- Check Point : From HummingBad to Worse
Facebook LINE Twitter
