HummingBad Malware Android Ritorna nel Google Play Store, Si Prevede Abbia Colpito Milioni

Ricordi Hummingbad? Sì, il malware Android che ha radicato segretamente i clienti lanciando un attacco a catena guadagnando il completo controllo sul dispositivo infetto. Solo l’anno scorso il blog di Checkpoint aveva messo in luce come operava il malware e anche gli aspetti infrastrutturali. La cattiva notizia è che il malware ha alzato di nuovo la sua brutta testa e questa volta si è manifestato in una nuova variante chiamata “HummingWhale”. Come previsto, l’ultima versione del malware è più forte e si prevede che crei più caos rispetto al suo predecessore, mantenendo nel contempo il suo DNA di frode pubblicitaria.

Il malware si era inizialmente diffuso tramite app di terze parti e si dice abbia colpito più di 10 milioni di telefoni, radicando migliaia di dispositivi ogni giorno e generando denaro per un totale di $300.000 ogni mese. I ricercatori di sicurezza hanno scoperto che la nuova variante del malware sta cercando rifugio in più di 20 app Android nel Google Play Store e le app sono già state scaricate da oltre 12 milioni. Google ha già agito sui rapporti e ha rimosso le app dal Play Store. Inoltre, i ricercatori di Check Point hanno rivelato che le app infette da HummingWhale sono state pubblicate con l’aiuto di uno sviluppatore cinese alias e sono state associate a comportamenti sospetti di avvio.

HummingBad Vs HummingWhale

La prima domanda che viene in mente a chiunque è quanto sia sofisticato HummingWhale rispetto a HummingBad. Bene, per essere onesti, nonostante condivida lo stesso DNA, il modus operandi è piuttosto diverso. HummingWhale utilizza un APK per consegnare il suo payload e nel caso in cui la vittima prenda nota del processo e cerchi di chiudere l’app, il file APK viene scaricato in una macchina virtuale rendendo quasi impossibile la rilevazione.

“Questo .apk opera come un dropper, utilizzato per scaricare ed eseguire app aggiuntive, simile alle tattiche impiegate dalle versioni precedenti di HummingBad. Tuttavia, questo dropper è andato molto oltre. Utilizza un plugin Android chiamato DroidPlugin, originariamente sviluppato da Qihoo 360, per caricare app fraudolente su una macchina virtuale.”- Checkpoint

HummingWhale non ha bisogno di radicare i dispositivi e funziona tramite la Macchina Virtuale. Questo consente al malware di avviare qualsiasi numero di installazioni fraudolente sul dispositivo infetto senza effettivamente apparire da nessuna parte. La frode pubblicitaria è portata avanti dal server di comando e controllo (C&C) che invia annunci e app falsi agli utenti che a loro volta vengono eseguiti su VM e dipendono da un ID di riferimento falso per ingannare gli utenti e generare entrate pubblicitarie. L’unica parola di cautela è assicurarsi di scaricare app da sviluppatori rinomati e scansionare segni di frode.