I ricercatori di Check Point Software Technologies, azienda specializzata in cybersicurezza, hanno scoperto una nuova variante del malware per dispositivi mobili HummingBad all’interno di 20 app disponibili su Google Play. Le app infettate da questa nuova minaccia sono state scaricate milioni di volte da utenti inconsapevoli. Check Point ha informato il team di sicurezza di Google di questo pericolo, e le app sono state rimosse da Google Play.
Questa nuova variante di malware, chiamata HummingWhale, utilizza tecniche innovative per perpetrare i crimini ancora meglio di prima. Già HummingBad, infatti, era un malware estremamente sofisticato, in grado di prendere il pieno controllo del dispositivo della vittima, ed è stata solo questione di tempo perché riuscisse a trovare un varco su Google Play. La versione HummingWhale, infatti, ha destato i primi sospetti non appena i ricercatori di Check Point hanno analizzato alcune di queste app, che hanno rivelato comportamenti e un codice sospetti.
Tutte le app incriminate sono state caricate sotto false identità di presunti sviluppatori cinesi.
La proprietà più sospetta rinvenuta in queste app è un file crittografato di 1.3MB, sospetto anche per la grandezza, in comune con alcune forme di HummingBad. Inoltre, i due malware sono accomunati da molti altri aspetti.
In generale, HummingWhale agisce attarverso il server Command&Control, che trasmette adv e app false al malware installato, che le propone a sua volta all’utente. Una volta che quest’ultimo cerca di chiudere l’adv, l’app, che è stata precedentemente insatallata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un’ID referred falsa, utilizzata dal malware per generare gli introiti per i criminali.
Questa tecnica offre molteplici vantaggi: per prima cosa, permette al malware di installare app senza chiedere permessi avanzati, nasconde l’attività malevola, riuscendo così a insidiarsi in Google Play, non è più legata al rootkit e, infine, riesce a installare una quantità infinita di app fraudolente, senza sovraccaricare il dispositivo.