HummingBad Android-Malware kehrt in den Google Play Store zurück, wird voraussichtlich Millionen betroffen haben

Erinnern Sie sich an Hummingbad? Ja, die Android-Malware, die heimlich die Kunden rootete, indem sie einen Kettenangriff startete und die vollständige Kontrolle über das infizierte Gerät erlangte. Es war erst im letzten Jahr, dass der Checkpoint-Blog beleuchtet hat, wie die Malware operierte und auch die infrastrukturellen Aspekte. Die schlechte Nachricht ist, dass die Malware ihr hässliches Haupt erneut erhoben hat und sich diesmal in eine neue Variante namens “HummingWhale” manifestiert hat. Wie erwartet ist die neueste Version der Malware stärker und wird voraussichtlich mehr Chaos anrichten als ihr Vorgänger, während sie gleichzeitig ihre DNA für Anzeigenbetrug beibehält.

Die Malware verbreitete sich zunächst über Drittanbieter-Apps und soll mehr als 10 Millionen Telefone betroffen haben, indem sie täglich Tausende von Geräten rootete und monatlich Einnahmen von 300.000 US-Dollar generierte. Sicherheitsforscher haben herausgefunden, dass die neue Variante der Malware in mehr als 20 Android-Apps im Google Play Store Zuflucht sucht und die Apps bereits über 12 Millionen Mal heruntergeladen wurden. Google hat bereits auf die Berichte reagiert und die Apps aus dem Play Store entfernt. Darüber hinaus haben Forscher von Check Point enthüllt, dass die von HummingWhale infizierten Apps mit Hilfe eines chinesischen Entwicklers alias veröffentlicht wurden und mit verdächtigem Startverhalten in Verbindung standen.

HummingBad Vs HummingWhale

Die erste Frage, die jedem in den Kopf kommt, ist, wie ausgeklügelt HummingWhale im Vergleich zu HummingBad ist. Um ehrlich zu sein, trotz der gleichen DNA ist das Vorgehen ziemlich unterschiedlich. HummingWhale verwendet eine APK, um seine Nutzlast zu liefern, und falls das Opfer den Prozess bemerkt und versucht, die App zu schließen, wird die APK-Datei in eine virtuelle Maschine abgelegt, wodurch sie nahezu unmöglich zu erkennen ist.

„Diese .apk fungiert als Dropper, der verwendet wird, um zusätzliche Apps herunterzuladen und auszuführen, ähnlich den Taktiken, die von früheren Versionen von HummingBad angewendet wurden. Dieser Dropper ging jedoch viel weiter. Er verwendet ein Android-Plugin namens DroidPlugin, das ursprünglich von Qihoo 360 entwickelt wurde, um betrügerische Apps auf einer virtuellen Maschine hochzuladen.“ - Checkpoint

HummingWhale muss die Geräte nicht rooten und funktioniert über die virtuelle Maschine. Dies ermöglicht es der Malware, beliebig viele betrügerische Installationen auf dem infizierten Gerät zu initiieren, ohne tatsächlich irgendwo sichtbar zu sein. Der Anzeigenbetrug wird über den Command-and-Control (C&C)-Server durchgeführt, der gefälschte Anzeigen und Apps an die Benutzer sendet, die wiederum auf der VM ausgeführt werden und von einer gefälschten Referrer-ID abhängen, um die Benutzer zu täuschen und Werbeeinnahmen zu generieren. Das einzige Wort der Warnung ist, sicherzustellen, dass Sie Apps von renommierten Entwicklern herunterladen und nach Anzeichen von Betrug scannen.