概述

9月18日，獵豹移動(CM)安全實驗室向安卓用戶發(fā)出警報——“Ghost Push”(幽靈推)，一個幾乎無法去除的頑固木馬。

然而，后來事情變得越來越糟了，它的多個變種依次被發(fā)現(xiàn)，經過更為深入的研究與分析，來自CM的安全專家發(fā)現(xiàn)隱藏在這種病毒背后的是一個非法移動營銷產業(yè)鏈，其中涉及到精細復雜的操作和大量的供應商。

迄今為止，該病毒已經影響了全球超過116個國家的90萬多安卓用戶，據(jù)推測，病毒開發(fā)者每天可從這個非法產業(yè)鏈中獲取至少405萬美元的暴利。

回顧“Ghost Push”事件

今年8月，發(fā)現(xiàn)Ghost Push在全球范圍內迅速蔓延的CM安全團隊迅速發(fā)出警報，并開發(fā)出一種專門針對這個嚴重病毒的反病毒工具。不久之后，有更多的安全公司注意到這個危險的病毒，并發(fā)現(xiàn)了幾個變種。

病毒家族發(fā)現(xiàn)時間軸

受影響APP

多個APP受影響

這個非法行業(yè)帝國是如何建立的?

病毒開發(fā)者對一些流行的APP進行了重包裝，注入了惡意代碼以及廣告組件。由于這些應用程序可以繞過谷歌市場以及其他合法應用市場的安全監(jiān)控，開發(fā)者在許多其他熱門應用市場成功提交并發(fā)布。然后，開發(fā)者繼而通過合法渠道推廣他們的惡意程序。

從另一方面來看，在不知情的情況下用戶往往非常愿意下載這些偽裝成熱門應用的惡意程序。當用戶完全無法卸載這些惡意軟件時，病毒開發(fā)者便獲得大量活躍用戶。而擁有了這樣的用戶群體后，他們便可以建立一個市場推廣公司，成為移動經銷商。這些惡意開發(fā)者有資格與廣告贊助商合作，通過推廣產品謀取暴利。

研究者發(fā)現(xiàn)至少4個可疑域名

在分析過病毒域名的指揮與控制(CnC)之后，CM團隊發(fā)現(xiàn)了至少四個與這個病毒家族攻擊有關的域名?；谶@些相關信息，可以猜想到攻擊可能源于中國。

在合法應用市場也發(fā)現(xiàn)此病毒家族

病毒開發(fā)者在合法應用市場也發(fā)布了經過重包裝的惡意應用，由此獲得了大量的用戶。截至目前，CM團隊在谷歌市場、Aptoide以及其他熱門應用程序商店中都發(fā)現(xiàn)了病毒樣本。讓人稍感欣慰的是，這些惡意軟件現(xiàn)在已從所有市場下架。#p#

超過4000樣本受此病毒家族影響

這個病毒家族囊括了4000個樣本，主要出現(xiàn)在一些熱門游戲、工具以及社交軟件中，例如會說話的湯姆貓3、超級馬里奧、Amazon等等。

截止10月8日，Ghost Push已經影響了超過116個國家的90多萬手機用戶，主要集中于東南亞地區(qū)。

[[151881]] 

受病毒影響的主要地區(qū)列表如下：

主要國家感染用戶數(shù)量列表如下：

東南亞為什么成了重災區(qū)?

病毒開發(fā)者主要來自中國，并且大多數(shù)經過重新包裝的應用程序是由中國供應商開發(fā)的。由于東南亞與中國地理接近，兩個地區(qū)在文化、歷史或宗教方面存在很多共同點。近年來，已經有越來越多的中國供應商開始在東南亞地區(qū)拓展業(yè)務。

安卓所有版本幾乎都難逃影響

這個病毒家族可以影響2.3至5.1幾乎所有安卓版本。令人震驚的是，即使最新版Android Lollipop也無法逃脫厄運。

所有受影響的移動操作系統(tǒng)版本如下所示：

超過一萬手機類型及2742個品牌受此牽連

幾乎所有大型手機制造商集體淪陷。三星作為谷歌開放手機聯(lián)盟的硬件領跑者首當其沖，由于其占領了最大的移動市場份額，因此受影響最深。

 #p#

這個病毒家族已經惡意影響了多少應用程序?

分析之后，研究者發(fā)現(xiàn)了一些推廣惡意軟件的信息。目前，已經有93個應用程序成為受害者。

所有這些應用程序都被預先注入了病毒(例如com.msqwea.cjaaml, com.sex.position.withsound SexPosition 以及 com.hui.szhdtmmnew Talking Tom.)。除了重新包裝流行應用程序，這些病毒同時還強制下載帶有木馬、后門或者病毒的其他惡意程序，造成更進一步的感染。因此，無論是合法或者惡意的應用程序，都會成為Ghost Push病毒的一部分。

在分析過程中，研究者還發(fā)現(xiàn)了一些有意思的信息，其中部分在下面列表展示如下：

病毒開發(fā)者每天可獲利超過405萬美金

這些惡意應用程序在智能手機上每安裝一次，病毒開發(fā)者便可獲得平均1.5美元的收益。目前，這93款應用程序主要分布于游戲、工具及社交軟件中，其中最貴的當屬游戲“魔法熱潮：英雄”，每次安裝需要3美金。

在測試了10臺設備之后，研究人員發(fā)現(xiàn)設備平均每天安裝3個應用程序，由此估算出每個設備每天可以為病毒開發(fā)者帶來4.5美元的收益。

從之前獲得的數(shù)據(jù)中可以看出，超過90萬的設備感染了這三種病毒，這便意味著開發(fā)者可以獲利至少405萬美元，每天!

病毒家族的主要技術特點

1、病毒家族能夠繞過谷歌市場以及其他應用市場的安全監(jiān)控，因此他們能夠在許多合法應用市場發(fā)布惡意程序，由此獲得大批用戶。

2、這個病毒家族利用現(xiàn)存的安卓系統(tǒng)漏洞進行提權操作，因此他們能夠對用戶設備進行ROOT，讓用戶無法卸載病毒。CM已經發(fā)現(xiàn)了一些被利用進行提權的漏洞，如下所示：

解決方案

這個病毒家族可以自動獲取你手機的根權限，ROOT受影響設備并獲取系統(tǒng)級別的訪問權。病毒一旦感染，即使使用殺毒工具，用戶也很難擺脫，重啟手機之后這些惡意軟件依舊出現(xiàn)。幸運的是，目前清理大師和CM安全已經研發(fā)出一種處理病毒的機制，適用于這種特殊的病毒家族，請點擊鏈接進行獲取。

參考

1. http://www.cmcm.com/blog/en/security/2015-09-18/799.htmll

2.  http://blog.checkpoint.com/2015/09/21/braintest-a-new-level-of-sophistication-in-mobile-malware/

3. https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html

4. http://blog.trendmicro.com/trendlabs-security-intelligence/two-games-released-in-google-play-can-root-android-devices/

5. https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html

附錄：Ghost Push 樣本

MD5s：https://docs.google.com/document/d/1HL6CarctYO7ekGcskNvZuMv9ws_BHdcPYzz2iTI-vKw/edit?usp=sharing