揭秘“幽灵推”：多变种全球肆虐 日赚400万美金

中新网10月13日电 10月12日，猎豹移动向全球安卓用户发布安全警告，“幽灵推(Ghost Push)”病毒出现多个变种，截至发稿，该病毒变种的感染设备日活跃高达90多万(实际感染数量应远大于此)，感染范围遍及116个国家。

该病毒入侵手机之后很难清除，它向中毒手机中大量安装游戏、工具等，赚取巨额推广费。据测算，目前已感染的手机每天可以给病毒集团带来大约400万美金的收益，其中游戏推广是最大的收益来源。

　病毒通过Goolge Play等正规市场传播

猎豹移动安全专家介绍说，病毒主要通过正规应用市场进行传播。病毒开发者绕过应用市场的安全监控，把带有恶意代码以及广告组件的流行应用提交发布，目前在Google Play及国内多个应用市场都发现了带毒应用。截至发稿前，带毒应用已被下架。

带毒应用被用户下载之后，会自带Root工具，试图获取系统最高权限，以此来对抗安全软件的查杀。获取Root权限之后，带毒应用可以大量安装游戏、工具等商业应用，赚取巨额推广费，这些应用同样无法卸载或清除。

病毒集团获取日均400万美元收益

根据病毒服务器的推广报价单，每下载一个游戏，游戏开放商需要支付最高3美元、平均1.8美元的费用。游戏推广在病毒集团的推广业务中占据了90%以上的比重。

猎豹移动对其推广的应用进行分析统计，平均每个应用的推广价格在1.5美元。研究人员研究了10余台中毒手机，这些手机每天平均被安装3个商业应用，则每台中毒手机、每天给病毒集团带来4.5美元的收益。按照目前90余万台中毒手机日活跃计算，病毒集团每天可以获取400万美元的收益。

　东南亚是“幽灵推”重灾区

根据猎豹移动的统计，“幽灵推”变种病毒的主要受害者集中于印度、印尼等东南亚地区，墨西哥和俄罗斯也进入受害国家前五名。其中受害最严重的印度约有15.8万台手机被感染(日活跃)，印尼也有12.5万左右。

猎豹移动对已经截获的4000个样本分析后发现，其病毒域名的指挥与控制系统(CnC)包含了4个相关域名，基于域名相关信息，猜测攻击可能源于中国。

　如何清除病毒？

尽管多个国际安全公司均发布了“幽灵推”病毒研究报告，但针对此类具有Root权限的病毒，并没有很好的解决方法，一般都推荐用户手工刷机来解决。

猎豹移动公司对该病毒系列进行了深入研究，在猎豹清理大师、猎豹安全大师中提供了完整的解决方案，可以将该病毒彻底查杀。同时，猎豹移动也提供了专杀工具，用户可以从Google Play下载安装，帮助其它产品的用户清除该病毒：

https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller