1、概述

KK插件是一個(gè)可以在整個(gè)手機(jī)操作系統(tǒng)中彈出惡意廣告的移動(dòng)病毒。早在幾個(gè)月前，在Google Play中的KK插件變種產(chǎn)品就已經(jīng)有至少185個(gè)了，這些病毒感染了全球30多個(gè)國(guó)家的用戶。獵豹移動(dòng)安全實(shí)驗(yàn)室(CMS Lab)發(fā)現(xiàn)超過(guò)700萬(wàn)用戶已經(jīng)通過(guò)多種分發(fā)方式感染了病毒，App Store和直接下載等方式。病毒感染仍在持續(xù)，每天能感染超過(guò)80萬(wàn)用戶。

??

黑客通過(guò)讓用戶從彈出惡意廣告中在他們的智能機(jī)上下載不必要的app賺錢。一旦手機(jī)被KK插件感染，系統(tǒng)中會(huì)頻繁彈出惡意廣告并警告手機(jī)被感染了，同時(shí)提供了其他應(yīng)用程序進(jìn)行下載安裝。

??

2、感染范圍

(1)被感染病毒最多的十個(gè)國(guó)家

東南亞國(guó)家的KK插件感染最為嚴(yán)重。

??

(2)Android病毒市場(chǎng)

這個(gè)木馬已經(jīng)在全球的Android下載平臺(tái)、Android應(yīng)用商店被下載了超過(guò)200萬(wàn)次。

??

(3)用戶感染

木馬把不必要的應(yīng)用推薦給用戶，使得用戶很難或者不可能不下載app就退出廣告。我們調(diào)查了木馬在服務(wù)器中的一些數(shù)據(jù)，發(fā)現(xiàn)通過(guò)應(yīng)用商店和其他方法，木馬已經(jīng)感染了超過(guò)7百萬(wàn)設(shè)備，每天有近80萬(wàn)的感染量。

3、木馬是如何工作的?

??

(1)推廣階段，該病毒偽裝成Deskgenie或者KK瀏覽器，隱藏在Android應(yīng)用程序或者網(wǎng)絡(luò)垃圾中，誘導(dǎo)用戶安裝特定的應(yīng)用程序。

(2)開始階段，它會(huì)自動(dòng)從mopop.net中下載com.kk.plugin。

(3)運(yùn)營(yíng)階段，com.kk.plugin把你的信息上傳到1329768.cc。然后廣告會(huì)彈出，終端操作系統(tǒng)用戶，推送廣告。

4、利潤(rùn)分析

從我們收集到的數(shù)據(jù)來(lái)看，平均每個(gè)下載黑客凈賺2刀。我們根據(jù)日活用戶量估計(jì)，一個(gè)黑客平均每天能賺10萬(wàn)刀。

5、黑客分析

(1)惡意軟件、Deskgenie、com.kk.plugin和KK瀏覽器，這些軟件在Google Play中的原始源和官方網(wǎng)站都顯示Joydream是其所有人。

??

這個(gè)惡意軟件會(huì)自動(dòng)在mopop.net中下載惡意插件，并把用戶數(shù)據(jù)發(fā)送到1329768.cc。這兩個(gè)網(wǎng)站的擁有人甚至KK瀏覽器的擁有人都是Joydream。

有證據(jù)顯示Joydream是幕后黑手。

??

Joydream是移動(dòng)互聯(lián)網(wǎng)應(yīng)用和技術(shù)服務(wù)的提供商，成立于2013年7月中國(guó)深圳。KK瀏覽器是他們的旗艦產(chǎn)品，東南亞是其主要市場(chǎng)。

6、建議

用戶一旦被木馬感染，他們的電量會(huì)流失得更快，手機(jī)的性能會(huì)受到非常嚴(yán)重的影響。只有少數(shù)安全工具可以去除KK插件的所有遍體。我們建議：

1、確保安裝CM安全工具，定期給手機(jī)進(jìn)行安全掃描，確保手機(jī)安全。

2、不要打開可疑或者不熟悉的網(wǎng)站、廣告、短信或電子郵件。

3、盡量不要安裝第三方交易市場(chǎng)的非官方應(yīng)用程序。應(yīng)用程序商店里的內(nèi)容是更為安全的選擇。

小編賣個(gè)萌調(diào)侃一下：

好啦，現(xiàn)在讓我們了解一下Joydream公司，它的中文名字叫做深圳市卓越創(chuàng)想科技有限公司，成立于2014年12月。JoyDream是一家移動(dòng)互聯(lián)網(wǎng)軟件技術(shù)及應(yīng)用服務(wù)提供商，旨在打造原生態(tài)海外移動(dòng)分發(fā)平臺(tái)，現(xiàn)有基于Android的手機(jī)瀏覽器KK BROWSER及LAUNCHER?，F(xiàn)在還在中國(guó)招程序員哦。