HummingBad : le malware Android revient sur le Google Play Store, devrait avoir affecté des millions

Vous vous souvenez de Hummingbad ? Oui, le malware Android qui a secrètement rooté les clients en lançant une attaque en chaîne pour prendre le contrôle total de l’appareil infecté. Ce n’est que l’année dernière que le blog Checkpoint a mis en lumière le fonctionnement du malware ainsi que ses aspects infrastructurels. La mauvaise nouvelle est que le malware a de nouveau levé la tête et cette fois-ci, il s’est manifesté sous une nouvelle variante appelée “HummingWhale”. Comme prévu, la dernière version du malware est plus puissante et devrait créer plus de chaos que son prédécesseur tout en conservant son ADN de fraude publicitaire.

Le malware s’est initialement propagé via des applications tierces et aurait affecté plus de 10 millions de téléphones, rootant des milliers d’appareils chaque jour et générant des revenus de l’ordre de 300 000 $ chaque mois. Des chercheurs en sécurité ont découvert que la nouvelle variante du malware cherche refuge dans plus de 20 applications Android sur le Google Play Store et que ces applications ont déjà été téléchargées par plus de 12 millions d’utilisateurs. Google a déjà agi sur les rapports et a supprimé les applications du Play Store. De plus, les chercheurs de Check Point ont révélé que les applications infectées par HummingWhale avaient été publiées avec l’aide d’un développeur chinois sous alias et étaient associées à un comportement de démarrage suspect.

HummingBad Vs HummingWhale

La première question qui vient à l’esprit de quiconque est de savoir à quel point HummingWhale est sophistiqué par rapport à HummingBad. Eh bien, pour être honnête, malgré le partage du même ADN, le modus operandi est assez différent. HummingWhale utilise un APK pour livrer sa charge utile et dans le cas où la victime prend note du processus et essaie de fermer l’application, le fichier APK est déposé dans une machine virtuelle, rendant ainsi presque impossible sa détection.

“Cet .apk fonctionne comme un dropper, utilisé pour télécharger et exécuter des applications supplémentaires, similaire aux tactiques employées par les versions précédentes de HummingBad. Cependant, ce dropper est allé beaucoup plus loin. Il utilise un plugin Android appelé DroidPlugin, développé à l’origine par Qihoo 360, pour télécharger des applications frauduleuses sur une machine virtuelle.” - Checkpoint

HummingWhale n’a pas besoin de rooter les appareils et fonctionne via la machine virtuelle. Cela permet au malware d’initier un nombre quelconque d’installations frauduleuses sur l’appareil infecté sans réellement apparaître nulle part. La fraude publicitaire est réalisée par le serveur de commande et de contrôle (C&C) qui envoie de fausses publicités et applications aux utilisateurs, qui à leur tour s’exécutent sur la VM et dépendent d’un faux ID de référence pour tromper les utilisateurs et générer des revenus publicitaires. Le seul mot de prudence est de s’assurer que vous téléchargez des applications de développeurs réputés et de scanner les signes de fraude.