一个只有 25 人的组织,每月赚 30 万美元、一季就赚 100 万美元。这是中国一个制造并散播恶意软件的组织 Yingmob,最知名的恶意软件 HummingBad 在短短 10 个月内已经感染超过 8500 万个 Android 装置,每天还以约 20 万人的数量成长中,但庆幸的是它的目的仅在赚钱,尚没有危害装置上的资料。
国外资安软件与服务公司 Check Point 表示他们从今年 2 月开始追踪 Yingmob,至今已经有 5 个月,他们形容 Yingmob 是精致、分工优良的团体,也有着相当高的获利,单月营收 30 万美元(约 968 万台币)。
感染 HummingBad 的 8500 万个 Android 装置,中国就占了 160 万,其次是印度、菲律宾、印尼、土耳其,范围遍布全球。
▲被 HummingBad 感染数量最多的前 20 个国家。(Source : Check Point)
HummingBad 以Drive-by download 的方式攻击,借由在网页中嵌入下载码,在使用者浏览网页时不知不觉得把恶意软件下载至手机内,而当 HummingBad 的 rootkits 成功植入手机取得手机上的系统管理权限后,他就会在使用者用手机的过程产生诈骗的广告流量,也会安装额外的诈骗 APP。
Check Point 认为 Yingmob 是一个分工优良的团体,他们不只有团队制作各种恶意软件,还有团队开发追踪广告的平台。Check Point 还发现,Yingmob 甚至与中国境内合法的广告分析公司合作,分享资源和技术。Check Point 没直接指明两者之间的关系,但推测下来,颇有广告公司利用恶意软件投放广告,冲广告量流量的意味。
现在 HummingBad 目的只为了赚钱,但 Check Point 特别强调,那只是“现在”。Yingmob 可以利用 HummingBad 做冲广告流量、冲下载量更多、更可怕的事,像是把被感染装置变成 botnet(僵尸网络),作为网络攻击用途;又或者是搜集每个装置上的资料做成数据库,若遇上比较有价值的资料,就可以得到高敏感度资料,或者借由他的相关资料对他的其他装置进行针对性攻击、获取更有价值的资料;也可以控制使用者的装置,变成勒索软件赚入更多的钱。
Check Point 的结论是,Yingmob 是第一个分工优良,营收充足的恶意软件组织,但就这般赚大钱的态势来看,Yingmob 不会是最后一个,未来恶意软件开发组织只会越来越多,并用更精致的方式进行更大的攻击。
资料来源:
- V3 : HummingBad malware infects 85 million Android devices
- Check Point : From HummingBad to Worse
延伸阅读:
- 恶意软件“大脑测试”App,一进手机你就惨了
- Google 揭露赛门铁克软件严重安全漏洞,建议立即更新
- Kaspersky 调查发现,四成美加民众仍不知勒索软件是什么
(首图来源:达志影像)
