为了获得更多点击，中国广告公司感染了8500万安卓用户

一家名为暴徒网络安全公司Check Point透露，该公司负责大规模传播该恶意软件，而且似乎是YSpecter iOS恶意软件背后的同一家公司。

总部位于中国重庆的Yingmob将自己推销为一家广告公司，声称在不影响用户体验的情况下提供易于部署的广告支持（文本、图片和视频广告）。该服务提供弹出式、侧边栏和应用程序内广告。

然而，Check Point的研究人员声称，该公司的“海外平台开发团队”是两大恶意软件浪潮的罪魁祸首：

HummingBad适用于Android，iSpecter适用于iOS。

“Yingmob与一家合法的中国广告分析公司合作，分享其资源和技术。”检查点在一篇博客文章中解释。“该组织由25名员工组成，由四个独立的小组组成，负责开发HummingBad的恶意组件。”

去年年底，总部位于加利福尼亚州的网络安全公司Palo Alto Networks发现了iSpecter iOS恶意软件，该软件针对越狱和非越狱iOS设备。

另一方面，HummingBad以Android设备为目标，允许向受害者的设备中注入广告，点击后，Yingmob将获得报酬。

200种不同的应用程序被用来传播HummingBad

Check Point指出，HummingBad在受感染的Android设备上建立了一个持久的rootkit，以产生欺诈性广告收入，并每天额外安装超过50000个欺诈性应用程序，以增加欺诈者的收入。

从2015年8月开始，Yingmob使用了近200种不同的应用程序来分发HummingBad Android恶意软件。

HummingBad是通过“下载驱动”的方法分发的，当受害者访问恶意网站时，该方法会用恶意软件感染他们，然后他们会继续将恶意应用下载到他们的设备上。

在他们的分析[PDF]中，Check Point研究人员估计，仅Android恶意软件一项就每天发送超过2000万条广告，每天实现约250万次点击。此外，大约1000万受害者正在使用Yingmob开发的恶意Android应用程序。

欺诈者年收入超过360万美元

根据以上统计数据，可以估计，Yingmob仅通过点击一次就可以每天赚取3000多美元，通过欺诈性应用程序安装还可以赚取7500美元，每月从其活动中赚取30万美元，或每年大约360万美元。

目前，HummingBad已经成功感染了全球8500万台Android设备，Yingmob可以远程命令这些设备安装额外的恶意软件或采取任何行动。

虽然YSpecter主要针对中国和台湾的用户，但HummingBad的大多数受害者居住在中国、印度和菲律宾，尽管数十万受害者也在土耳其、美国、墨西哥和俄罗斯。

HummingBad和YSpecter之间的主要相似之处在于，它们共享相同的命令和控制（C&C）服务器地址，黑客使用这些地址与受感染的设备进行通信。这表明Yingmob是这两个恶意软件背后的同一家公司。

这不是第一次有中国公司被发现参与恶意广告活动。就在几个月前，中国的互联网服务提供商中国电信和中国联通这两家亚洲最大的网络运营商因通过网络流量注入广告和恶意软件而被当场抓获。