HummingBad, el malware de Android, regresa a Google Play Store, se espera que haya afectado a millones

¿Recuerdas Hummingbad? Sí, el malware de Android que secretamente enraizaba a los clientes lanzando un ataque en cadena ganando control total sobre el dispositivo infectado. Solo el año pasado, el blog de Checkpoint iluminó cómo operaba el malware y también los aspectos estructurales. La mala noticia es que el malware ha levantado su fea cabeza una vez más y esta vez se ha manifestado en una nueva variante llamada “HummingWhale”. Como se esperaba, la última versión del malware es más fuerte y se espera que cause más caos que su predecesor, todo mientras retiene su ADN de fraude publicitario.

El malware se había propagado inicialmente a través de aplicaciones de terceros y se dice que ha afectado a más de 10 millones de teléfonos, enraizando miles de dispositivos cada día y generando dinero a razón de $300,000 cada mes. Los investigadores de seguridad han descubierto que la nueva variante del malware está buscando refugio en más de 20 aplicaciones de Android en Google Play Store y las aplicaciones ya han sido descargadas por más de 12 millones. Google ya ha actuado sobre los informes y ha eliminado las aplicaciones de Play Store. Además, los investigadores de Check Point han revelado que las aplicaciones infectadas por HummingWhale fueron publicadas con la ayuda de un desarrollador chino alias y estaban asociadas con un comportamiento de inicio sospechoso.

HummingBad Vs HummingWhale

La primera pregunta que surge en la mente de cualquiera es cuán sofisticado es HummingWhale en comparación con HummingBad. Bueno, para ser honesto, a pesar de compartir el mismo ADN, el modus operandi es bastante diferente. HummingWhale utiliza un APK para entregar su carga útil y en caso de que la víctima tome nota del proceso e intente cerrar la aplicación, el archivo APK se deja caer en una máquina virtual, lo que hace que sea casi imposible de detectar.

“Este .apk opera como un dropper, utilizado para descargar y ejecutar aplicaciones adicionales, similar a las tácticas empleadas por versiones anteriores de HummingBad. Sin embargo, este dropper fue mucho más allá. Utiliza un plugin de Android llamado DroidPlugin, desarrollado originalmente por Qihoo 360, para cargar aplicaciones fraudulentas en una máquina virtual.”- Checkpoint

HummingWhale no necesita enraizar los dispositivos y funciona a través de la Máquina Virtual. Esto permite que el malware inicie cualquier número de instalaciones fraudulentas en el dispositivo infectado sin aparecer realmente en ninguna parte. El fraude publicitario es llevado a cabo por el servidor de comando y control (C&C) que envía anuncios y aplicaciones falsas a los usuarios que, a su vez, se ejecutan en VM y dependen de un ID de referente falso para engañar a los usuarios y generar ingresos publicitarios. La única palabra de precaución es asegurarse de que descargas aplicaciones de desarrolladores reputados y escanear en busca de signos de fraude.