近日Check Point公司发布了一则报告，其中提到了一款来自中国重庆的安卓恶意程序——“HummingBad”其感染范围极强，并且结构复杂。据Check Point估计，HummingBad已经感染了8500万台安卓设备。

　　Check Point称，“HummingBad”制作者是国内一家广告公司，名叫微赢互动，并且在报告中详细揭露了这家公司众多细节信息。

　　CheckPoint预计，HummingBad每天都会推2000万条广告内容，其点击率大约为12.5%。此外，HummingBad每天还安装超过50000个欺诈应用。预计微赢互动每天光从广告点击，就能获取超过3000美元的收益，而诈骗应用的安装则能获取7500美元/天。换算下来一个月就是30万美元，一年则为360万美元。

　　在HummingBad中有几个亮点，第一，它的所有恶意组件都是加密的，这使得更难通过常规手段检测。第二，恶意软件启动一个静默的攻击向量。如果这个失败，恶意软件将启动第二个攻击向量，它和第一个具有相同的功能，最后，每一个攻击向量分为几个阶段，包括包括解密和解压实际恶意代码。

　　在诱导用户点击广告(下载apk)之后，恶意软件首先会检测设备是否已经root，如果没有则考虑多种漏洞对设备进行root，然后获得对设备的全部权限。如果已经root则进行静默安装，如果root失败则会弹出对话框诱导安装。完成之后便伪造Google Play的安装，从广告网络中获取广告收益。还有一些行为，比如利用Google Play进程注入恶意程序，伪装Google Play商店中安装、购买、接受点击操作；欺骗IMEI码注入，这样便可以在同一设备上将相同的软件安装两次，服务器收到的回执则是两个设备；并且可以对Google Play进行模拟操作……

　　通过HummingBad非法控制的大量设备，黑客可以轻易将其访问权限及其数据售予黑市或者政府。像微赢互动这样业务完善，高度组织化，独立发起复杂攻击的团队并不多见，或许这将是此类团队今后发展的趋势。