ハミングバッドAndroidマルウェアがGoogle Playストアに戻る、数百万台に影響を与えたと予想される

ハミングバッドを覚えていますか？はい、顧客を秘密裏にルート化し、感染したデバイスを完全に制御するためにチェーン攻撃を開始するAndroidマルウェアです。昨年、Checkpointブログがこのマルウェアの動作方法とインフラ面について明らかにしたばかりです。悪いニュースは、このマルウェアが再び顔を出し、今回は「ハミングホエール」と呼ばれる新しいバリアントに変身したことです。予想通り、最新のバージョンはより強力で、前のバージョンよりも多くの混乱を引き起こすと予想されていますが、広告詐欺のDNAは保持されています。

このマルウェアは当初、サードパーティのアプリを介して広がり、1000万台以上の電話に影響を与え、毎日何千台ものデバイスをルート化し、毎月30万ドルの収益を上げていると言われています。セキュリティ研究者たちは、新しいバリアントのマルウェアがGoogle Playストアの20以上のAndroidアプリに潜伏しており、これらのアプリはすでに1200万回以上ダウンロードされていることを明らかにしました。Googleはすでに報告を受けてアプリをPlayストアから削除しました。 さらに、Checkpointの研究者たちは、ハミングホエールに感染したアプリが中国の開発者のエイリアスの助けを借りて公開され、疑わしいスタートアップ動作に関連していることを明らかにしました。

ハミングバッド対ハミングホエール

誰もが最初に思い浮かべる質問は、ハミングホエールはハミングバッドに対してどれほど洗練されているのかということです。正直に言うと、同じDNAを共有しているにもかかわらず、手口はかなり異なります。ハミングホエールはAPKを使用してペイロードを配信し、被害者がプロセスに気づいてアプリを閉じようとすると、APKファイルは仮想マシンにドロップされ、ほぼ検出不可能になります。

“この.apkはドロッパーとして機能し、追加のアプリをダウンロードして実行するために使用され、以前のバージョンのハミングバッドが採用した戦術に似ています。しかし、このドロッパーはさらに進んでいます。Qihoo 360によって元々開発されたDroidPluginというAndroidプラグインを使用して、仮想マシン上に詐欺アプリをアップロードします。” - Checkpoint

ハミングホエールはデバイスをルート化する必要がなく、仮想マシンを介して機能します。これにより、マルウェアは感染したデバイス上で実際に表示されることなく、任意の数の詐欺インストールを開始できます。広告詐欺は、偽の広告やアプリをユーザーに送信するコマンド＆コントロール（C&C）サーバーによって行われ、これらはVM上で実行され、偽のリファラーIDに依存してユーザーを欺き、広告収益を生成します。唯一の注意点は、信頼できる開発者からアプリをダウンロードし、詐欺の兆候をスキャンすることを確認することです。