HummingBad Android Malware Возвращается в Google Play Store, Ожидается, что он Затронул Миллионы

Помните Hummingbad? Да, это Android-вредоносное ПО, которое тайно рутировало клиентов, запуская цепную атаку и получая полный контроль над зараженным устройством. Только в прошлом году блог Checkpoint осветил, как работало это вредоносное ПО, а также его инфраструктурные аспекты. Плохая новость заключается в том, что вредоносное ПО снова подняло свою уродливую голову, и на этот раз оно проявило себя в новой разновидности под названием “HummingWhale”. Как и ожидалось, последняя версия вредоносного ПО сильнее и ожидается, что она создаст больше хаоса, чем ее предшественник, при этом сохраняя свою ДНК мошенничества с рекламой.

Вредоносное ПО первоначально распространялось через сторонние приложения и, как сообщается, затронуло более 10 миллионов телефонов, рутируя тысячи устройств каждый день и зарабатывая деньги в размере 300 000 долларов каждый месяц. Исследователи безопасности обнаружили, что новая разновидность вредоносного ПО ищет убежище в более чем 20 Android-приложениях в Google Play Store, и эти приложения уже были загружены более чем 12 миллионами пользователей. Google уже отреагировала на сообщения и удалила приложения из Play Store.
Более того, исследователи Check Point раскрыли, что зараженные приложения HummingWhale были опубликованы с помощью китайского разработчика под псевдонимом и были связаны с подозрительным поведением на старте.

HummingBad Против HummingWhale

Первый вопрос, который возникает у любого, это насколько сложен HummingWhale по сравнению с HummingBad. Честно говоря, несмотря на то, что они имеют одинаковую ДНК, методы работы довольно разные. HummingWhale использует APK для доставки своего полезного груза, и в случае, если жертва замечает процесс и пытается закрыть приложение, файл APK помещается в виртуальную машину, что делает его почти невозможно обнаружить.

“Этот .apk работает как дроппер, используемый для загрузки и выполнения дополнительных приложений, аналогично тактикам, применяемым предыдущими версиями HummingBad. Однако этот дроппер пошел гораздо дальше. Он использует Android-плагин под названием DroidPlugin, изначально разработанный Qihoo 360, для загрузки мошеннических приложений на виртуальную машину.” - Checkpoint

HummingWhale не требует рутирования устройств и работает через виртуальную машину. Это позволяет вредоносному ПО инициировать любое количество мошеннических установок на зараженном устройстве, не показываясь при этом нигде. Мошенничество с рекламой осуществляется через сервер командования и контроля (C&C), который отправляет фальшивые объявления и приложения пользователям, которые, в свою очередь, работают на виртуальной машине и зависят от фальшивого идентификатора реферера, чтобы обмануть пользователей и генерировать доход от рекламы. Единственное предостережение - убедитесь, что вы загружаете приложения от известных разработчиков и проверяете на наличие признаков мошенничества.