你的手機屏幕上莫名彈出一則廣告，當點擊關閉按鈕時，廣告并沒有被關閉，反而進入廣告頁面。上面一幕是許許多多手機用戶都曾遇到過的情景，也許一開始你還未曾在意，但不久后你會發現，手機不僅耗電快，流量似乎跑得比以往更多……這時你可能還不曾想到——你的手機已經中病毒了。

　　從去年開始，一種名為悍馬(Hummer)的病毒“席卷”全球，一年時間內感染8500多萬部手機，引起安全公司的高度關注。前不久，以色列安全解決方案供應商Check Point與獵豹移動安全分別出具分析報告，對病毒與背后的控制者來了一次大起底。

　　8500萬臺被掌控的手機

　　獵豹移動安全實驗室于7月發布了《“”制造：悍馬(Hummer)病毒家族技術分析報告》，報告顯示，悍馬病毒今年平均日活量達119萬，成為全球排名的手機病毒。“初次感染病毒的路徑有很多種，我們觀察到的是，用戶通過一些色情網站、App、不明來源廣告等感染。”獵豹移動安全工程師李鐵軍對《IT時報》記者說道。

　　中毒之后，手機會頻繁彈出廣告，推廣手機游戲，甚至在后臺靜默安裝色情應用，并繁衍病毒。獵豹移動安全實驗室介紹：“許多中毒用戶發現手機總是被莫名安裝很多軟件，卸載之后不久再次被安裝。”而且，專業檢測發現，手機在安裝悍馬病毒App后的幾小時內，訪問網絡鏈接數萬次，消耗網絡流量高達2GB，下載Apk超200個。根據CheckPoint預計，HummingBad每天都會推2000萬廣告內容，安裝超過5萬個欺詐應用。

　　其背后的公司通過廣告點擊量與應用安裝進行收費，根據Check Point估算，惡意軟件每天從廣告點擊獲取超過3000美元的收益，而詐騙應用的安裝則能獲取7500美元收益。換算下來，一個月30萬美元(200萬人民幣)左右。

　　李鐵軍表示：“該病毒已經獲取root權限，所以它可以完全控制手機，幾乎不受任何限制。且病毒已經深深地植入系統當中，就算用戶‘恢復出廠設置’，也根本無法清除病毒。”

　　在悍馬廣泛傳播的20多個國家和地區中，大部分在亞洲。“印度、印尼等國家與一樣，同屬于發展家，網民的上網安全意識和安全習慣較歐美國家弱，因此容易中招。”目前印度流行的十大手機病毒里，有3種來自悍馬病毒家族。

　　看似“巧合”的對賭與病毒蔓延時機

　　通過獲取手機root權限進行廣告游戲推廣安裝的病毒并不少見，令李鐵軍感到困惑的是，為什么悍馬病毒感染量會這么大？“感染量越大，被攔截的可能性就越大，這樣太容易引起安全公司的注意。”李鐵軍說道，一般只為謀利的公司，會將感染量控制在一定范圍內。2015年5月之前，悍馬病毒感染量一直處于幾萬臺的穩定水平，但在此后開始激增。

　　悍馬病毒的控制者是誰？這個時間點有何特殊意義？隨著調查的深入，獵豹移動與Check Point均認為，公司微贏互動就是站在悍馬病毒背后的人。微贏互動是一家移動互聯網廣告平臺服務提供商，于2015年6月，被明家科技收購。

　　明家科技(2016年3月更名為明家聯合移動科技)是一家上市公司，6月在斥資10億收購微贏互動的同時，與其簽訂一份對賭協議，微贏互動承諾2015年至2017年，公司扣除非經常性損益后凈利潤分別不低于7150萬元、9330萬元和12000萬元。而根據明家科技去年6月公布的《北京微贏互動科技有限公司審計報告》，微贏互動在2013年、2014年歸屬于母公司所有者的凈利潤分別為827.19萬元、4248.48萬元。這要求微贏互動的利潤在2014年的基礎上分別提高68%、119%和182%。

　　協議顯示，如果微贏互動未能實現承諾凈利潤，則李佳宇、張翔、陳陽等微贏股東應對上市公司支付補償；若承諾期內微贏互動累計實際實現的凈利潤總和超出承諾，各方同意將超出部分的40%獎勵給微贏互動的經營管理團隊。

　　上述看似很高的利潤指標，對微贏互動而言，難度似乎并不大。明家科技2015年度財報披露，微贏互動當年營業收入翻番，歸屬于母公司所有者的凈利潤7585萬元，超過約定的7150萬。同樣截止到2015年底，悍馬病毒的數量已經由年初僅幾萬臺的水平，達到120萬臺，今年3月達到峰值150萬臺。

　　不過，“在遭到曝光后，病毒活動已經停止。” 李鐵軍說道。

　　被隱藏的痕跡

　　在獵豹7月7日發布報告后，明家聯合7月9日發布聲明稱，微贏互動從未制作或傳播或使用過HummingBad惡意代碼，該代碼更新、發回報告等運營方式涉及的cscs100.com等12個域名并非微贏互動所有；微贏互動從未制作或傳播或使用過Hummer惡意代碼，該代碼涉及的兩個域名 hummermobi.com和hummeroffers.com已于2015年11月11日轉出，此后該域名持有人并非公司或公司員工。

　　在明確提供病毒下載與更新的域名中，有一個域名為haoyiapi.com。根據獵豹移動安全實驗室6月的whois查詢，此域名對應的注冊郵箱為13590333@qq.com，申請人為chenyang。通過此郵箱后在微博搜索，可以對應到微博用戶Iadpush陳陽，在個人簡介里，陳陽自稱“iadpush cto”，而iadpush就是微贏互動旗下的子公司。

　　同時，通過全國企業信用系統查詢顯示，上海昂真科技有限公司2016年2月變更前的法定代表人為陳陽。病毒域名的hummermobi.com和hummeroffers.com所有者同為上海昂真科技有限公司。