¿Recuerdan a HummingBad? Hablamos por primera vez sobre ese malware a mediados del año pasado, y perjudicó a más de 85 millones de dispositivos. Un problema importante detrás de cualquier malware es que sólo necesita modificaciones básicas para convertirse en algo diferente, y así llegamos a HummingWhale, el cual logró infiltrarse en la Google Play Store.
Las aplicaciones infectadas fueron descargadas dos millones de veces
como mínimo, y a pesar de sus cambios, el objetivo es el mismo: Generar ganancias con publicidad y apps falsas.
Los usuarios de Android son un blanco muy tentador, y nunca faltan
aquellas ocasiones en las que un desarrollador malicioso logra ocultar su código
dentro de lo que parece ser una aplicación legítima. Se trata de una
carrera armamentista para Google. El gigante de Mountain View es
bastante bueno a la hora de detectar apps infectadas, pero una vez que «el otro lado» asimila sus métodos, hace todo lo posible para evadir e insertar su malware. El último reporte publicado por la gente de Check Point nos habla de una nueva campaña bajo el nombre HummingWhale. Si el nombre resulta familiar, es porque estamos ante una variante del famoso HummingBad, con la diferencia de que es mucho más lista.
En total se detectaron veinte aplicaciones con HummingWhale integrado, y fueron descargadas entre dos y doce millones
de veces. Check Point siguió a esta familia de malware durante meses, y
determinó que en vez de buscar acceso root sobre el dispositivo, lo que
hace HummingWhale es aplicar técnicas asociadas a máquinas virtuales.
Cuando el usuario trata de cerrar la publicidad maliciosa de
HummingWhale, el malware descarga apps no deseadas dentro de esa máquina
virtual, y crea una identificación falsa que le permite obtener
ganancias adicionales abusando de referrals. El uso de una
máquina virtual elimina la necesidad del root, y como si fuera poco,
HummingWhale puede publicar comentarios y puntuaciones falsas con el
objetivo de mejorar la reputación de las apps infectadas dentro de la
tienda.
El reporte de Check Point posee la lista completa de apps, pero en esencia comienzan con «com» y terminan con «camera» (por ejemplo, «com.note.ocean.camera»). Como era de esperarse, Google ya retiró a las apps en cuestión, y Check Point ofrece una aplicación compatible capaz de detectar este tipo de infección, al igual que Lookout, uno de sus competidores directos.
Fuente:
http://www.neoteo.com/hummingwhale-peligroso-malware-android-esta-arrasando-google-play
No hay comentarios:
Publicar un comentario