近日，獵豹移動向全球安卓用戶發布安全警告，“幽靈推（Ghost Push）”病毒出現多個變種，截至發稿，該病毒變種的感染設備日活躍高達 90 多萬（實際感染數量應遠大于此），感染范圍遍及 116 個國家。

該病毒入侵手機之后很難清除，它向中毒手機中大量安裝游戲、工具等，賺取巨額推廣費。據測算，目前已感染的手機每天可以給病毒集團帶來大約 400 萬美金的收益，其中游戲推廣是最大的收益來源。

病毒通過 Goolge Play 等正規市場傳播

獵豹移動安全專家介紹說，病毒主要通過正規應用市場進行傳播。病毒開發者繞過應用市場的安全監控，把帶有惡意代碼以及廣告組件的流行應用提交發布，目前在 Google Play 及國內多個應用市場都發現了帶毒應用。截至發稿前，帶毒應用已被下架。

帶毒應用被用戶下載之后，會自帶 Root 工具，試圖獲取系統最高權限，以此來對抗安全軟件的查殺。獲取 Root 權限之后，帶毒應用可以大量安裝游戲、工具等商業應用，賺取巨額推廣費，這些應用同樣無法卸載或清除。

病毒集團獲取日均 400 萬美元收益

根據病毒服務器的推廣報價單，每下載一個游戲，游戲開放商需要支付最高 3 美元、平均 1.8 美元的費用。游戲推廣在病毒集團的推廣業務中占據了 90%以上的比重。

從其推廣應用的分析來看，平均每個應用的推廣價格在 1.5 美元。研究人員研究了 10 余臺中毒手機，這些手機每天平均被安裝 3 個商業應用，則每臺中毒手機、每天給病毒集團帶來 4.5 美元的收益。按照目前 90 余萬臺中毒手機日活躍計算，病毒集團每天可以獲取 400 萬美元的收益。

東南亞是“幽靈推”重災區

據統計，“幽靈推”變種病毒的主要受害者集中于印度、印尼等東南亞地區，墨西哥和俄羅斯也進入受害國家前五名。其中受害最嚴重的印度約有 15.8 萬臺手機被感染（日活躍），印尼也有 12.5 萬左右。

在對已經截獲的 4000 個樣本分析后發現，其病毒域名的指揮與控制系統（CnC）包含了 4 個相關域名，基于域名相關信息，猜測攻擊可能源于中國。

延伸閱讀：

• 安卓手機現新病毒！ 殺不死的「幽靈推」
• 流量黑洞！央視曝光安卓手機病毒幽靈推