KK插件病毒感染全球700万台手机，证据显示幕后黑手来自深圳

1、概述

KK插件是一个可以在整个手机操作系统中弹出恶意广告的移动病毒。早在几个月前，在Google Play中的KK插件变种产品就已经有至少185个了，这些病毒感染了全球30多个国家的用户。猎豹移动安全实验室（CMS Lab）发现超过700万用户已经通过多种分发方式感染了病毒，App Store和直接下载等方式。病毒感染仍在持续，每天能感染超过80万用户。

黑客通过让用户从弹出恶意广告中在他们的智能机上下载不必要的app赚钱。一旦手机被KK插件感染，系统中会频繁弹出恶意广告并警告手机被感染了，同时提供了其他应用程序进行下载安装。

全球分布

2、感染范围

（1）被感染病毒最多的十个国家

东南亚国家的KK插件感染最为严重。

（2）Android病毒市场

这个木马已经在全球的Android下载平台、Android应用商店被下载了超过200万次。

（3）用户感染

木马把不必要的应用推荐给用户，使得用户很难或者不可能不下载app就退出广告。我们调查了木马在服务器中的一些数据，发现通过应用商店和其他方法，木马已经感染了超过7百万设备，每天有近80万的感染量。

3、木马是如何工作的？

(1）推广阶段，该病毒伪装成Deskgenie或者KK浏览器，隐藏在Android应用程序或者网络垃圾中，诱导用户安装特定的应用程序。 （2）开始阶段，它会自动从mopop.net中下载com.kk.plugin。 （3）运营阶段，com.kk.plugin把你的信息上传到1329768.cc。然后广告会弹出，终端操作系统用户，推送广告。

4、利润分析

从我们收集到的数据来看，平均每个下载黑客净赚2刀。我们根据日活用户量估计，一个黑客平均每天能赚10万刀。

5、黑客分析

（1）恶意软件、Deskgenie、com.kk.plugin和KK浏览器，这些软件在Google Play中的原始源和官方网站都显示Joydream是其所有人。

这个恶意软件会自动在mopop.net中下载恶意插件，并把用户数据发送到1329768.cc。这两个网站的拥有人甚至KK浏览器的拥有人都是Joydream。

有证据显示Joydream是幕后黑手。

Joydream是移动互联网应用和技术服务的提供商，成立于2013年7月中国深圳。KK浏览器是他们的旗舰产品，东南亚是其主要市场。

6、建议

用户一旦被木马感染，他们的电量会流失得更快，手机的性能会受到非常严重的影响。只有少数安全工具可以去除KK插件的所有遍体。我们建议：

1、确保安装CM安全工具，定期给手机进行安全扫描，确保手机安全。 2、不要打开可疑或者不熟悉的网站、广告、短信或电子邮件。 3、尽量不要安装第三方交易市场的非官方应用程序。应用程序商店里的内容是更为安全的选择。

小编卖个萌调侃一下：

好啦，现在让我们了解一下Joydream公司，它的中文名字叫做深圳市卓越创想科技有限公司，成立于2014年12月。JoyDream是一家移动互联网软件技术及应用服务提供商，旨在打造原生态海外移动分发平台，现有基于Android的手机浏览器KK BROWSER及LAUNCHER。现在还在中国招程序员哦。

*原文：cmcm 编译/FireFrank，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）