“中国”制造 | 悍马（Hummer）病毒家族技术分析报告

文章原创作者： 猎豹移动安全实验室

自2016年年初开始，猎豹移动安全实验室对印度top 10的手机样本进行了梳理，结果发现这些病毒样本存在家族关系，这些病毒样本均采用hummer系列域名为升级服务器，猎豹移动安全实验室将该病毒家族命名为“悍马（hummer）”。

悍马（Hummer）病毒全球日活119万

据猎豹移动安全实验室吧监测数据，2016年1-6月，悍马（Hummer）病毒的平均日活119万，超过其他所有手机病毒的感染数据，悍马病毒已成世界排名第一的手机病毒。

悍马（hummer）手机病毒已遍布全球，印度、印尼、土耳其位居前三，中国居第4。

印度是悍马病毒感染量最高的国家，在印度肆虐的十大手机病毒中，第2、3名是悍马病毒家族成员，第6名是悍马病毒推广安装的其他病毒。

悍马病毒最早的样本在2014年即被发现，2015年7月后，该病毒的感染量明显上升。2016年该病毒的平均日活119万，峰值超过140万。

悍马病毒样本变种数在2016年4-5月份达到高峰，和该病毒在全球的感染量增长基本吻合。

“悍马（hummer）”病毒家族的发现

除部分风险应用外，其中标红为本文讨论的家族，该病毒会root用户手机，静默安装其他病毒以及推广安装大量应用。

看似一款普通的应用，但是安装后手机就重启。然后屏幕满满的广告，系统被安装大量同类变种、推广应用、 以及其他病毒。就像这样

中毒用户将手机恢复出厂设置并不能解决问题，因为病毒已经获得ROOT权限，system分区已被修改，“悍马”病毒的多个变种已植入手机ROM内。

这种被深深植入rom的病毒，普通的恢复出厂设置，以及进入recovery系统wipe data（安卓用户熟悉的手机双清）都无法清除。

悍马病毒在手机上的运行方式

悍马病毒使用了私有壳

实际主体在stream.png的文件里

在这个png 实际上是一个加密后的 elf 被载入后释放一个zip

该应用的代码实际隐藏在这个zip里面

脱壳后的，其资源文件还有两个elf两个apk

首先，悍马病毒运行后会释放该模块root手机，并且会根据不同的机型使用不同的解决方案。

如果该文件不存在或者损坏，他还可以联网更新

病毒会根据不同的运营商来判断使用哪个模块。right_core是一个500k的zip包。

right_core包含一个root sdk，root手机之后下载更多的子包与以上guangbom等url路径为/getSSPDownUrl.do?cid=的apk并安装。

另外如果root成功，则将之前包里的erwuba这个apk解密并安装到system下，如果root失败则频繁弹出安装窗口，强迫用户安装。该apk安装无图标，作用类似主apk，为病毒的备份，防止原先病毒app被卸载。

接下来就会疯狂弹出各种广告：

根据最新版发现，“悍马”病毒最新变种内置多达18种root方案，基本涵盖Android 5以及更早的系统版本。

等root完手机之后，“悍马”病毒变种会以如下方式与广告服务器通讯，进而静默安装其他应用，前台频繁展示，或者后台点击厂商广告。

受害广告厂商

我们在一台测试机安装悍马病毒APP，做了几个小时的网络抓包，发现其在短短的几小时内，访问网络链接数万次。消耗网络流量达2GB，下载apk超200个。发现受影响的广告厂商如下：

追踪

猎豹移动安全实验室对悍马病毒的历史进行溯源，发现该病毒家族很早就有发现，变种依然十分活跃。

也有其他国外安全厂商有过分析报道：Checkpoint

这是一个什么样的病毒组织呢？

猎豹移动安全实验室追踪到病毒常用域名更新接口如下：

http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json

对应内容如图

其中root相关的为 9.json 目前其内容如下

{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}

这些域名除了写在代码里，还有通过以上url获得收集到的提供病毒更新的域名如下

guangbom.com ssppsspp.com cscs100.com cscs200.com ccaa100.com ccaa200.com

使用后缀均为getSSPDownUrl，但是链接返回的apk不固定。其中猜测几个cid作用如下

117 124—-Root工具 112 115 118 120 121 126 127—-恶意推广com.android.systemUl 129 025—-恶意推广com.android.updater

这些网址仍然活跃

这些链接基本都会跳转到以下两个aws域名，这两个域名下，散布了大量病毒（virustotal截图）

另一个系列更新链接如下

http://fget.aa0ab.com:10010/c/ http://manage.hummerlauncher.com:10010/c/ http://fget.haoyiapi.com:10010/c/ http://fget.aa0ab.com:10010/c/

以上涉及的域名中，明确提供病毒下载与更新的域名如下

guangbom.com ssppsspp.com cscs100.com cscs200.com ccaa100.com ccaa200.com manage.hummerlauncher.com aa0ab.com haoyiapi.com

虽然大部分域名whois信息已经被隐藏，部分域名的whois已经更新，但我们仍然获取到如下信息

域名的whois信息中，有两个貌似是商业广告公司的网站 hummermobi、hummeroffers ，其中的一个网站还写有公司地址。简单搜索，发现这两个域名属于上海昂真科技有限公司，该公司为北京微赢互动科技有限公司在上海的全资子公司。

使用搜索引擎，发现上海昂真科技有限公司重庆分公司的法人代表为“陈阳”，也是两个病毒更新域名的实际持有人。

域名Whois历史中涉及两个QQ邮箱追踪如下：

其邮箱对应的微博指向了iadpush的员工。根据上市公司公开资料，iadpush是微赢互动旗下的子公司。

然而更意外的是：该病毒组织员工安全意识薄弱，竟然把密码公开放到代码托管网站SourceForge.net上（完整URL:https://sourceforge.net/p/xiu8/svn/HEAD/tree/doc/iad/）

注：SourceForge 是全球最大开源软件开发平台和仓库，是为开源软件提供一个存储、协作和发布的平台。

猎豹移动的安全研究人员在其泄露的内部文档中发现，他们的后台网址竟然就是病毒的更新网址，已泄露的文档相当详尽。虽然数据稍显陈旧，但仍有参考价值。

猎豹移动追踪到与McVivi_Vip相关的某网盘，其中有大量关于微赢互动公司制作恶意程序的内部文档。

里面还有他们的工作规划，招聘岗位说明……

悍马病毒功能相关域名关系图

*文章原创作者： 猎豹移动安全实验室，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）