Desagradable malware Android que infectado a millones devoluciones a Google Play Store

HummingBad - un programa malicioso basado en Android que infectó a más de 10 millones de dispositivos Android en todo el mundo el año pasado e hizo su banda de unos US $ 300.000 por mes en su apogeo - ha hecho una reaparición.

Investigadores de seguridad han descubierto una nueva variante del el malware HummingBad en más de 20 aplicaciones de Android en Google Play Store.

Las aplicaciones infectadas ya se han descargado más de 12 millones de usuarios desprevenidos ante el equipo de seguridad de Google les quita de la Play Store.

Apodado HummingWhale por investigadores de la empresa de seguridad de Check Point, el nuevo malware utiliza nuevas técnicas de vanguardia que permiten que el software desagradable para llevar a cabo el fraude Ad mejor que nunca y generar ingresos para sus desarrolladores.

Los investigadores dijeron que los Check Point aplicaciones infectadas por HummingWhale se habían publicado bajo el nombre de los desarrolladores chinos falsos en Play Store con estructura de nombre común, com. [Nombre] .La cámara, pero con comportamientos sospechosos de inicio.

"Se ha registrado varios eventos en el arranque, como TIME_TICK, SCREEN_OFF y INSTALL_REFERRER la que [eran] dudosa en ese contexto," Check Point investigadores dijo en una entrada de blogpublicada el lunes.

HummingWhale Ejecuta aplicaciones malintencionadas en una máquina virtual

El malware es HummingWhale complejo que HummingBad, ya que utiliza un archivo disfrazada apk (APK) que actúa como un gotero que descarga y ejecuta otras aplicaciones en el teléfono inteligente de la víctima.

Si los avisos de las víctimas y cierra su proceso, el archivo APK luego cae en sí en una máquina virtual en un esfuerzo por hacer que sea más difícil de detectar.

El gotero hace uso de un plugin de Android creada por el proveedor de seguridad chino popular Qihoo 360 para subir aplicaciones maliciosas para la máquina virtual, lo que permite HummingWhale que se instalen más otras aplicaciones sin tener que elevar los permisos, y disfraza su actividad maliciosa para llegar a Google Play.

"Este apk funciona como un cuentagotas, que se utiliza para descargar y ejecutar aplicaciones adicionales, similar a las tácticas empleadas por las versiones anteriores de HummingBad", dijeron los investigadores. "Sin embargo, este gotero fue mucho más lejos. Se utiliza un plugin de Android llamada DroidPlugin, desarrollado originalmente por Qihoo 360, para subir aplicaciones fraudulentas en una máquina virtual."

HummingWhale se ejecuta sin tener que arraigar el dispositivo Android

Gracias a la máquina virtual (VM), el malware HummingWhale ya no tiene que arrancar de raíz a diferencia de los dispositivos Android HummingBad y se puede instalar cualquier número de aplicaciones maliciosas o fraudulentas en los dispositivos de la víctima sin sobrecargar sus teléfonos inteligentes.

Una vez que la víctima se infecta, el mando y el control de servidor (C & C) envían anuncios falsos y aplicaciones maliciosas para el usuario, que se ejecuta en una máquina virtual, lo que genera un ID de referencia falsa utilizada para suplantar usuarios únicos con fines de fraude de anuncios y generar ingresos.

Al igual que el HummingBad original, con el fin de HummingWhale es hacer un montón de dinero a través de anuncios y el fraude instalaciones de aplicaciones falsas.

Además de todas estas capacidades maliciosos, el malware HummingWhale también trata de aumentar su reputación en Google Play Store a través de las calificaciones y comentarios fraudulentos, la táctica similar a la utilizada por el software malicioso Gooligan .