Nuova variante del malware per dispositivi mobili HummingBad, scoperta all'interno di 20 app disponibili su Google Play. Le app infettate da questa minaccia sono state scaricate milioni di volte da utenti inconsapevoli. Lo rende noto Check Point, che ha subito informato il team di sicurezza di Google e le app sono state rimosse dallo store.
Questa nuova variante di malware, chiamata HummingWhale, utilizza tecniche innovative per perpetrare i crimini ancora meglio di prima. Già HummingBad era un malware estremamente sofisticato, in grado di prendere il pieno controllo del dispositivo della vittima, ed è stata solo questione di tempo perché riuscisse a trovare un varco su Google Play. La versione HummingWhale, infatti, ha destato i primi sospetti non appena i ricercatori di Check Point hanno analizzato alcune di queste app, che hanno rivelato comportamenti e un codice sospetti.
Tutte le app incriminate sono state caricate sotto false identità di presunti sviluppatori cinesi. La proprietà più sospetta rinvenuta in queste app è un file crittografato di 1,3 megabyte, sospetto anche per la sua grandezza, in comune con alcune forme di HummingBad. Inoltre, i due malware sono accomunati da molti altri aspetti.
In generale, HummingWhale agisce attarverso il server Command&Control, che trasmette adv e app false al malware installato, che le propone a sua volta all’utente. Una volta che quest’ultimo cerca di chiudere l’adv, l’app, che è stata precedentemente installata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un'ID referred falsa, utilizzata dal malware per generare gli introiti per i criminali.
Questa tecnica offre molteplici vantaggi: per prima cosa, permette al malware di installare app senza chiedere permessi avanzati, nasconde l’attività malevola, riuscendo così a insediarsi in Google Play, non è più legata al rootkit e, infine, riesce a installare una quantità infinita di app fraudolente, senza sovraccaricare il dispositivo.
