Malware Android HummingBad Retorna à Google Play Store, Espera-se que tenha Afetado Milhões

Lembra do Hummingbad? Sim, o malware Android que secretamente fez root nos clientes ao lançar um ataque em cadeia ganhando controle total sobre o dispositivo infectado. Foi apenas no ano passado que o blog da Checkpoint destacou como o malware operava e também os aspectos estruturais. A má notícia é que o malware levantou sua feia cabeça mais uma vez e desta vez se manifestou em uma nova variante chamada “HummingWhale”. Como esperado, a versão mais recente do malware é mais forte e deve criar mais caos do que seu predecessor, mantendo ao mesmo tempo seu DNA de fraude publicitária.

O malware inicialmente se espalhou por meio de aplicativos de terceiros e diz-se que afetou mais de 10 milhões de telefones, fazendo root em milhares de dispositivos todos os dias e gerando dinheiro na ordem de $300.000 todos os meses. Pesquisadores de segurança descobriram que a nova variante do malware está buscando refúgio em mais de 20 aplicativos Android na Google Play Store e os aplicativos já foram baixados por mais de 12 milhões. O Google já agiu sobre os relatórios e removeu os aplicativos da Play Store. Além disso, pesquisadores da Check Point revelaram que os aplicativos infectados pelo HummingWhale foram publicados com a ajuda de um desenvolvedor chinês sob um pseudônimo e estavam associados a um comportamento de inicialização suspeito.

HummingBad Vs HummingWhale

A primeira pergunta que surge na cabeça de qualquer um é quão sofisticado é o HummingWhale em comparação ao HummingBad. Bem, para ser honesto, apesar de compartilhar o mesmo DNA, o modus operandi é bastante diferente. O HummingWhale usa um APK para entregar sua carga e, caso a vítima note o processo e tente fechar o aplicativo, o arquivo APK é colocado em uma máquina virtual, tornando quase impossível a detecção.

“Este .apk opera como um dropper, usado para baixar e executar aplicativos adicionais, semelhante às táticas empregadas por versões anteriores do HummingBad. No entanto, este dropper foi muito mais longe. Ele usa um plugin Android chamado DroidPlugin, originalmente desenvolvido pela Qihoo 360, para carregar aplicativos fraudulentos em uma máquina virtual.”- Checkpoint

O HummingWhale não precisa fazer root nos dispositivos e funciona via Máquina Virtual. Isso permite que o malware inicie qualquer número de instalações fraudulentas no dispositivo infectado sem realmente aparecer em lugar nenhum. A fraude publicitária é realizada pelo servidor de comando e controle (C&C) que envia anúncios e aplicativos falsos para os usuários, que por sua vez rodam na VM e dependem de um ID de referenciador falso para enganar os usuários e gerar receitas publicitárias. A única palavra de cautela é garantir que você baixe aplicativos de desenvolvedores respeitáveis e escaneie em busca de sinais de fraude.