概述

9月18日，獵豹移動(CM)安全實驗室向安卓用戶發(fā)出警報——“Ghost Push”(幽靈推)，一個幾乎無法去除的頑固木馬。

然而，后來事情變得越來越糟了，它的多個變種依次被發(fā)現(xiàn)，經(jīng)過更為深入的研究與分析，來自CM的安全專家發(fā)現(xiàn)隱藏在這種病毒背后的是一個非法移動營銷產(chǎn)業(yè)鏈，其中涉及到精細(xì)復(fù)雜的操作和大量的供應(yīng)商。

迄今為止，該病毒已經(jīng)影響了全球超過116個國家的90萬多安卓用戶，據(jù)推測，病毒開發(fā)者每天可從這個非法產(chǎn)業(yè)鏈中獲取至少405萬美元的暴利。

回顧“Ghost Push”事件

今年8月，發(fā)現(xiàn)Ghost Push在全球范圍內(nèi)迅速蔓延的CM安全團(tuán)隊迅速發(fā)出警報，并開發(fā)出一種專門針對這個嚴(yán)重病毒的反病毒工具。不久之后，有更多的安全公司注意到這個危險的病毒，并發(fā)現(xiàn)了幾個變種。

病毒家族發(fā)現(xiàn)時間軸

受影響APP

多個APP受影響

這個非法行業(yè)帝國是如何建立的?

病毒開發(fā)者對一些流行的APP進(jìn)行了重包裝，注入了惡意代碼以及廣告組件。由于這些應(yīng)用程序可以繞過谷歌市場以及其他合法應(yīng)用市場的安全監(jiān)控，開發(fā)者在許多其他熱門應(yīng)用市場成功提交并發(fā)布。然后，開發(fā)者繼而通過合法渠道推廣他們的惡意程序。

從另一方面來看，在不知情的情況下用戶往往非常愿意下載這些偽裝成熱門應(yīng)用的惡意程序。當(dāng)用戶完全無法卸載這些惡意軟件時，病毒開發(fā)者便獲得大量活躍用戶。而擁有了這樣的用戶群體后，他們便可以建立一個市場推廣公司，成為移動經(jīng)銷商。這些惡意開發(fā)者有資格與廣告贊助商合作，通過推廣產(chǎn)品謀取暴利。

研究者發(fā)現(xiàn)至少4個可疑域名

在分析過病毒域名的指揮與控制(CnC)之后，CM團(tuán)隊發(fā)現(xiàn)了至少四個與這個病毒家族攻擊有關(guān)的域名。基于這些相關(guān)信息，可以猜想到攻擊可能源于中國。

在合法應(yīng)用市場也發(fā)現(xiàn)此病毒家族

病毒開發(fā)者在合法應(yīng)用市場也發(fā)布了經(jīng)過重包裝的惡意應(yīng)用，由此獲得了大量的用戶。截至目前，CM團(tuán)隊在谷歌市場、Aptoide以及其他熱門應(yīng)用程序商店中都發(fā)現(xiàn)了病毒樣本。讓人稍感欣慰的是，這些惡意軟件現(xiàn)在已從所有市場下架。#p#

超過4000樣本受此病毒家族影響

這個病毒家族囊括了4000個樣本，主要出現(xiàn)在一些熱門游戲、工具以及社交軟件中，例如會說話的湯姆貓3、超級馬里奧、Amazon等等。

截止10月8日，Ghost Push已經(jīng)影響了超過116個國家的90多萬手機(jī)用戶，主要集中于東南亞地區(qū)。

[[151881]] 

受病毒影響的主要地區(qū)列表如下：

主要國家感染用戶數(shù)量列表如下：

東南亞為什么成了重災(zāi)區(qū)?

病毒開發(fā)者主要來自中國，并且大多數(shù)經(jīng)過重新包裝的應(yīng)用程序是由中國供應(yīng)商開發(fā)的。由于東南亞與中國地理接近，兩個地區(qū)在文化、歷史或宗教方面存在很多共同點。近年來，已經(jīng)有越來越多的中國供應(yīng)商開始在東南亞地區(qū)拓展業(yè)務(wù)。

安卓所有版本幾乎都難逃影響

這個病毒家族可以影響2.3至5.1幾乎所有安卓版本。令人震驚的是，即使最新版Android Lollipop也無法逃脫厄運(yùn)。

所有受影響的移動操作系統(tǒng)版本如下所示：

超過一萬手機(jī)類型及2742個品牌受此牽連

幾乎所有大型手機(jī)制造商集體淪陷。三星作為谷歌開放手機(jī)聯(lián)盟的硬件領(lǐng)跑者首當(dāng)其沖，由于其占領(lǐng)了最大的移動市場份額，因此受影響最深。

 #p#

這個病毒家族已經(jīng)惡意影響了多少應(yīng)用程序?

分析之后，研究者發(fā)現(xiàn)了一些推廣惡意軟件的信息。目前，已經(jīng)有93個應(yīng)用程序成為受害者。

所有這些應(yīng)用程序都被預(yù)先注入了病毒(例如com.msqwea.cjaaml, com.sex.position.withsound SexPosition 以及 com.hui.szhdtmmnew Talking Tom.)。除了重新包裝流行應(yīng)用程序，這些病毒同時還強(qiáng)制下載帶有木馬、后門或者病毒的其他惡意程序，造成更進(jìn)一步的感染。因此，無論是合法或者惡意的應(yīng)用程序，都會成為Ghost Push病毒的一部分。

在分析過程中，研究者還發(fā)現(xiàn)了一些有意思的信息，其中部分在下面列表展示如下：

病毒開發(fā)者每天可獲利超過405萬美金

這些惡意應(yīng)用程序在智能手機(jī)上每安裝一次，病毒開發(fā)者便可獲得平均1.5美元的收益。目前，這93款應(yīng)用程序主要分布于游戲、工具及社交軟件中，其中最貴的當(dāng)屬游戲“魔法熱潮：英雄”，每次安裝需要3美金。

在測試了10臺設(shè)備之后，研究人員發(fā)現(xiàn)設(shè)備平均每天安裝3個應(yīng)用程序，由此估算出每個設(shè)備每天可以為病毒開發(fā)者帶來4.5美元的收益。

從之前獲得的數(shù)據(jù)中可以看出，超過90萬的設(shè)備感染了這三種病毒，這便意味著開發(fā)者可以獲利至少405萬美元，每天!

病毒家族的主要技術(shù)特點

1、病毒家族能夠繞過谷歌市場以及其他應(yīng)用市場的安全監(jiān)控，因此他們能夠在許多合法應(yīng)用市場發(fā)布惡意程序，由此獲得大批用戶。

2、這個病毒家族利用現(xiàn)存的安卓系統(tǒng)漏洞進(jìn)行提權(quán)操作，因此他們能夠?qū)τ脩粼O(shè)備進(jìn)行ROOT，讓用戶無法卸載病毒。CM已經(jīng)發(fā)現(xiàn)了一些被利用進(jìn)行提權(quán)的漏洞，如下所示：

解決方案

這個病毒家族可以自動獲取你手機(jī)的根權(quán)限，ROOT受影響設(shè)備并獲取系統(tǒng)級別的訪問權(quán)。病毒一旦感染，即使使用殺毒工具，用戶也很難擺脫，重啟手機(jī)之后這些惡意軟件依舊出現(xiàn)。幸運(yùn)的是，目前清理大師和CM安全已經(jīng)研發(fā)出一種處理病毒的機(jī)制，適用于這種特殊的病毒家族，請點擊鏈接進(jìn)行獲取。

參考

1. http://www.cmcm.com/blog/en/security/2015-09-18/799.htmll

2.  http://blog.checkpoint.com/2015/09/21/braintest-a-new-level-of-sophistication-in-mobile-malware/

3. https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html

4. http://blog.trendmicro.com/trendlabs-security-intelligence/two-games-released-in-google-play-can-root-android-devices/

5. https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html

附錄：Ghost Push 樣本

MD5s：https://docs.google.com/document/d/1HL6CarctYO7ekGcskNvZuMv9ws_BHdcPYzz2iTI-vKw/edit?usp=sharing