你的手机屏幕上莫名弹出一则广告，当点击关闭按钮时，广告并没有被关闭，反而进入广告页面。上面一幕是许许多多手机用户都曾遇到过的情景，也许一开始你还未曾在意，但不久后你会发现，手机不仅耗电快，流量似乎跑得比以往更多……这时你可能还不曾想到——你的手机已经中病毒了。

　　从去年开始，一种名为悍马(Hummer)的病毒“席卷”全球，一年时间内感染8500多万部手机，引起安全公司的高度关注。前不久，以色列安全解决方案供应商Check Point与猎豹移动安全分别出具分析报告，对病毒与背后的控制者来了一次大起底。

　　8500万台被掌控的手机

　　猎豹移动安全实验室于7月发布了《“”制造：悍马(Hummer)病毒家族技术分析报告》，报告显示，悍马病毒今年平均日活量达119万，成为全球排名的手机病毒。“初次感染病毒的路径有很多种，我们观察到的是，用户通过一些色情网站、App、不明来源广告等感染。”猎豹移动安全工程师李铁军对《IT时报》记者说道。

　　中毒之后，手机会频繁弹出广告，推广手机游戏，甚至在后台静默安装色情应用，并繁衍病毒。猎豹移动安全实验室介绍：“许多中毒用户发现手机总是被莫名安装很多软件，卸载之后不久再次被安装。”而且，专业检测发现，手机在安装悍马病毒App后的几小时内，访问网络链接数万次，消耗网络流量高达2GB，下载Apk超200个。根据CheckPoint预计，HummingBad每天都会推2000万广告内容，安装超过5万个欺诈应用。

　　其背后的公司通过广告点击量与应用安装进行收费，根据Check Point估算，恶意软件每天从广告点击获取超过3000美元的收益，而诈骗应用的安装则能获取7500美元收益。换算下来，一个月30万美元(200万人民币)左右。

　　李铁军表示：“该病毒已经获取root权限，所以它可以完全控制手机，几乎不受任何限制。且病毒已经深深地植入系统当中，就算用户‘恢复出厂设置’，也根本无法清除病毒。”

　　在悍马广泛传播的20多个国家和地区中，大部分在亚洲。“印度、印尼等国家与一样，同属于发展家，网民的上网安全意识和安全习惯较欧美国家弱，因此容易中招。”目前印度流行的十大手机病毒里，有3种来自悍马病毒家族。

　　看似“巧合”的对赌与病毒蔓延时机

　　通过获取手机root权限进行广告游戏推广安装的病毒并不少见，令李铁军感到困惑的是，为什么悍马病毒感染量会这么大？“感染量越大，被拦截的可能性就越大，这样太容易引起安全公司的注意。”李铁军说道，一般只为谋利的公司，会将感染量控制在一定范围内。2015年5月之前，悍马病毒感染量一直处于几万台的稳定水平，但在此后开始激增。

　　悍马病毒的控制者是谁？这个时间点有何特殊意义？随着调查的深入，猎豹移动与Check Point均认为，公司微赢互动就是站在悍马病毒背后的人。微赢互动是一家移动互联网广告平台服务提供商，于2015年6月，被明家科技收购。

　　明家科技(2016年3月更名为明家联合移动科技)是一家上市公司，6月在斥资10亿收购微赢互动的同时，与其签订一份对赌协议，微赢互动承诺2015年至2017年，公司扣除非经常性损益后净利润分别不低于7150万元、9330万元和12000万元。而根据明家科技去年6月公布的《北京微赢互动科技有限公司审计报告》，微赢互动在2013年、2014年归属于母公司所有者的净利润分别为827.19万元、4248.48万元。这要求微赢互动的利润在2014年的基础上分别提高68%、119%和182%。

　　协议显示，如果微赢互动未能实现承诺净利润，则李佳宇、张翔、陈阳等微赢股东应对上市公司支付补偿；若承诺期内微赢互动累计实际实现的净利润总和超出承诺，各方同意将超出部分的40%奖励给微赢互动的经营管理团队。

　　上述看似很高的利润指标，对微赢互动而言，难度似乎并不大。明家科技2015年度财报披露，微赢互动当年营业收入翻番，归属于母公司所有者的净利润7585万元，超过约定的7150万。同样截止到2015年底，悍马病毒的数量已经由年初仅几万台的水平，达到120万台，今年3月达到峰值150万台。

　　不过，“在遭到曝光后，病毒活动已经停止。” 李铁军说道。

　　被隐藏的痕迹

　　在猎豹7月7日发布报告后，明家联合7月9日发布声明称，微赢互动从未制作或传播或使用过HummingBad恶意代码，该代码更新、发回报告等运营方式涉及的cscs100.com等12个域名并非微赢互动所有；微赢互动从未制作或传播或使用过Hummer恶意代码，该代码涉及的两个域名 hummermobi.com和hummeroffers.com已于2015年11月11日转出，此后该域名持有人并非公司或公司员工。

　　在明确提供病毒下载与更新的域名中，有一个域名为haoyiapi.com。根据猎豹移动安全实验室6月的whois查询，此域名对应的注册邮箱为13590333@qq.com，申请人为chenyang。通过此邮箱后在微博搜索，可以对应到微博用户Iadpush陈阳，在个人简介里，陈阳自称“iadpush cto”，而iadpush就是微赢互动旗下的子公司。

　　同时，通过全国企业信用系统查询显示，上海昂真科技有限公司2016年2月变更前的法定代表人为陈阳。病毒域名的hummermobi.com和hummeroffers.com所有者同为上海昂真科技有限公司。