01.07.2016 06:06
TashaFridrih 23 8800 Источник
По словам экспертов компании Cheetah Mobile, появилось новое семейство троянов для мобильных устройств. Общее название данного семейства Hummer.



Такое вредоносное ПО получает права суперпользователя, после чего загружает адалт-приложения и отображает всплывающие рекламные баннеры.

Согласно проведенным исследованиям, ежедневный доход операторов может достигать $500 тыс., ведь каждое установленное вредоносом приложение приносит $0,5. В начале этого года максимальное количество инфицированных устройств достигло 1,4 млн, согласитесь, внушительная цифра.



Вредонос семейства Hummer, после установки на устройстве «счастливчика», получает права суперпользователя, приложения загружаются в фоновом режиме, периодически отображается реклама.

Иследовав исходный код нового семейства троянов, был сделан вывод — что отцами данного вредоноса являются китайские разработчики. Начиная с 2016 года с помощью Hummer было использовано 12 доменов для обновления трояна. Некоторые из этих доменов связаны с китайской электронной почтой.



Hummer был замечен в августе 2014 года, так как изначально он не проявлял бурной активности, то, следовательно, и мало беспокоил экспертов. На сегодняшний день ситуация кардинально изменилась. С лета 2015 года активность вредоноса начала возрастать, пиковая отметка была достигнута в начале 2016 года, когда количество заражений составило 1,4 млн пользователей в день.



Полностью удалить Hummer очень сложно. Троян этого семейства получает наивысший уровень доступа, и обычные антивирусы не способны до конца очистить от него зараженное устройство. Даже сброс настроек до заводских не избавит мобильное устройство от трояна. Hummer развивает такую активность, что за несколько часов он может скачать более 200 APK, сгенерировав более 2 Гб трафика.


список из 25 стран с наибольшим количеством устройств, зараженных Hummer
Поделиться с друзьями
-->

Комментарии (23)


  1. UksusoFF
    01.07.2016 09:29
    #9404480
    +3

    Подробностей бы. Куда он там что пмшет что даже после сброса не удаляется.

    А так звучит неплохо: получает рут и показывает прон :/


    1. acodered
      01.07.2016 11:38
      #9405110
      +1

      Если бы не держал такой зараженный планшет в руках, хмыкнул бы скептически — надо же, ухитриться заразить андроид! А пришлось заливать новую прошивку, и то здорово повезло, что для чипсета MTK всё доступно в интернете — и прошивки, и прошивальщики и пошаговые инструкции как переписать MAC-и.


      1. Andrusha
        01.07.2016 17:40
        #9406344

        Помню, уже прямо из магазина на планшете (Oysters, вроде) бяка стояла, тоже перепрошивал.


        1. ilyaplot
          04.07.2016 15:04
          #9411088

          Думаю, таких не мало. Телефон Micromax постоянно забивал все свободное место псевдо-порнушными приложениями с момента первого включения.


    1. CrAzYIT
      01.07.2016 12:16
      #9405230

      Полностью все пути не нашел, основа пишется во все папки с apk (/system/app; priv-app; vendor; /data/app/) и так же в папку /system/bin; xbin.


    1. teecat
      04.07.2016 10:50
      #9410356

      Если бы было название, как его более известные антивирусы называют — можно было бы посмотреть что он делает. А так очень похоже на Loki


  1. Alter116
    01.07.2016 11:55
    #9405152
    +3

    Андроид, как обычно в топе по заразе, повод задуматься…


    1. ilyaplot
      04.07.2016 15:05
      #9411090

      По той же причине, что и Windows.


  1. Mistx
    01.07.2016 11:56
    #9405154
    +2

    Какие версии ведройда подвержены заражению? Каким образом происходит заражение?
    Самого главного в статье нет… Рассказ ни о чем


    1. CrAzYIT
      01.07.2016 12:07
      #9405186

      Уже не раз попадал на этот вирус, много телефонов приносили и все с Андроидом 4.х. На 5.1 не рутовоном не взлетел, с рутом попросил права супер пользователя и был послан. Заражение у всех через установку апк с интернета, обычно рекламные блоки случайно задетые (Аля у вас устарел flash/browser/телефон и т.п.).


      1. henryhunter
        01.07.2016 13:29
        #9405480

        Но при задевании баннера на страничке он же не устанавливается в фоне, без каких-либо уведомлений? Т.е. пользователь в любом случае должен согласится с установкой приложения с вирусом?


        1. CrAzYIT
          01.07.2016 14:31
          #9405722

          В принципе да, но думаю все знают какие пользователи попадаются, некоторые реально верят и ставят эти «обновления», некоторые ищут игрушку бесплатно как скачать и качают и ставят с сомнительных сайтов. Конечно в итоге они все заявляют «оно само, я ничего не делал/а»


  1. trimtomato
    01.07.2016 12:46
    #9405330

    Ничесси. А как так получилось, что в статье вообще нет прямого упоминания андроида?
    Если я правильно додумал, это проблема андроида и только андроида. Вот так и нужно написать.


  1. zee
    01.07.2016 13:37
    #9405508
    +1

    Те самые Cheetah Mobile, скупающие крутые независимые приложения, а затем обвешивающие их рекламой, «анонимной» телеметрией, очистителями диска и ускорителями интернета, заодно предлагая 1 ТБ китайского облака и облачный антивирус?
    Они не очередную версию Clean Master изучали, случайно?


  1. Abiboss
    01.07.2016 15:33
    #9405980

    В статье с таким вниманием к нюансам стоило бы добавить иллюстрацию экрана зараженного телефона!


  1. Lindon_cano
    01.07.2016 16:26
    #9406118

    > Даже сброс настроек до заводских не избавит мобильное устройство от трояна.

    Вот с этого места подробней. И куда он у вас пишется, что сброс в фэктори-дефолт не помогает? И как он это делает? Попахивает откровенным враньем.


    1. Finesse
      01.07.2016 17:30
      #9406300

      Имел дело с телефоном на Android 4.x, заражённым вирусом, показывающем баннеры на китайском. По-хорошему вирус не удалялся, полный сброс тоже не помог. В итоге пришлось перепрошивать. Не знаю, как это работает, но это возможно.


    1. CrAzYIT
      01.07.2016 17:37
      #9406328

      Чуть выше я писал в папки которые он себя пишет. При сбросе все эти папки не чистятся.


    1. Andrusha
      01.07.2016 17:38
      #9406340

      Абзац под картинкой с автомобилем

      Такое вредоносное ПО получает права суперпользователя, после чего загружает адалт-приложения и отображает всплывающие рекламные баннеры.

      Упрощенно, в общем случае, если есть рут-права — можем писать в системный раздел.


  1. Nikon_NLG
    01.07.2016 22:55
    #9406866

    Приносили такой «подарок на новый год, который тормозит и жрёт деньги» под видом китайского Galaxy 4.
    Довольно вредный вирус. Мало того что chattr +i вешает на некоторые файлы (т.е. без root + busybox никуда), ещё и сам включает все средства связи, лишь бы добраться до интернета. Т.е. перезагружаешь телефон, включаешь режим полёта, а он включает gprs/gps/wifi обратно, цепляется к любой открытой сети, и начинает в несколько потоков всё качать, так что даже adb тормозит как на диалапе в 2400.
    Как уже выше писали, спасла только заливка новой прошивки. Что было ещё хуже — в логах tcpdump проскакивали get запросы на какой-то домен, включающими в себя номера из контактной книги и какие-то обрывки sms.


  1. gekaifkl
    02.07.2016 01:06
    #9407082

    Я работаю в сфере ремонта мобильных телефонов. Каждый день приносят 2-3 телефона на прошывку с таким зловредом.
    Однозначно Китайская разработка. Имеет приоритет више чем система.


    1. Lindon_cano
      02.07.2016 11:39
      #9407496

      Что такое «приоритет више чем система» в Linux? Я напоминаю, что речь идет об Android Linux, а потому расскажите мне о «приоритет више чем система», мне будет очень интересно послушать ваш бред.


  1. Alexsandr_SE
    02.07.2016 08:25
    #9407272

    Жаль не написали механизма распространения.