Περισσότερες από 85 εκατομμύρια συσκευές Android σε όλο τον κόσμο έχουν καταληφθεί από την Yingmob, μια ομάδα εγκληματιών του κυβερνοχώρου με βάση τους την Κίνα, που δημιούργησαν το κακόβουλο λογισμικό HummingBad, σύμφωνα με μια έκθεση της Check Point που κυκλοφόρησε την περασμένη εβδομάδα.
Το HummingBad εγκαθιστά ένα επίμονο rootkit στις συσκευές Android, δημιουργεί ψεύτικα έσοδα από τις διαφημίσεις, και εγκαθιστά πρόσθετες κακές εφαρμογές.
Εάν αποτύχει να εγκαταστήσει το rootkit, τότε “βομβαρδίζει” τη συσκευή του στόχου με “δηλητηριασμένες” εφαρμογές.
Το HummingBad έχει αποφέρει έσοδα ύψους 300.000 δολαρίων το μήνα, σύμφωνα με την Check Point.
Το κακόβουλο λογισμικό τρέχει μαζί με τις νόμιμες διαφημιστικές καμπάνιες που το Yingmob έχει δημιουργίσει για τη νόμιμη επιχείρηση ανάλυσης διαφημίσεων.
«Εδώ και καιρό έχουμε επίγνωση αυτής της εξελισσόμενης οικογένειας malware, και βελτιώνουμε συνεχώς τα συστήματα ανίχνευσης της”, δήλωσε ο εκπρόσωπος της Google
Το HummingBad χρησιμοποιεί μια εξελιγμένη, πολλαπλών σταδίων αλυσιδωτή επίθεση με δύο κύριες συνιστώσες.
Το πρώτο μέρος χρησιμοποιεί ένα rootkit που εκμεταλλεύεται τις πολλαπλές ευπάθειες για να προσπαθήσει να ριζώσει στη συσκευή-στόχο.
Το SSP εγχέει μια βιβλιοθήκη στη διαδικασία του Google Play χρησιμοποιώντας ptrace, η οποία επιτρέπει στο HummingBad να μιμηθεί τα κλικ εγκατάστασης / αγοράς /κουμπιών αποδοχής στο εσωτερικό του Google Play.
Αν αυτό αποτύχει, το δεύτερο συστατικό, CAP , εγκαθιστά κακόβουλες εφαρμογές χρησιμοποιώντας περίτεχνες τεχνικές. Αποκρυπτογραφεί το module_encrypt.jar όταν ξεκινά σε μια συσκευή, τότε φορτώνει δυναμικά ένα κώδικα που περιέχει το κύριο malware. Το επόμενο βήμα είναι να αποκρυπτογραφήσει και να τρέξει μεταξύ άλλων και ένα εγγενές δυαδικό.
Ανεξαρτήτως της επιτυχίας του rooting, το HummingBad κατεβάζει όσες περισσότερες κακές εφαρμογές μπορεί για τη συσκευή-στόχο.
