Prikaži glavni meni

HummingWhale: Android malver HummingBad se vratio

Mobilni telefoni, 26.01.2017, 01:00 AM

Android malver HummingBad koji je, prema nekim procenama, do sada inficirao 85 miliona uređaja širom sveta, nedavno je pronađen u 46 novih aplikacija, od se kojih 20 njih nekako našlo u Google Play prodavnici, što znači da su aplikacije uspele da prođu Googleove bezbednosne provere.

Prema podacima izraelske firme Check Point, u svetu Android malvera, HummingBad je trenutno najveći igrač jer je odgovoran za 72% svih infekcija mobilnih uređaja.

Veliki broj infekcija je malveru HummingBad obezbedilo mesto među prvih deset najaktivnijih familija malvera u proteklih nekoliko meseci.

HummingBad je jedva godinu dana star malver, koji je prvi put detektovan u februaru prošle godine. Malver je korišćen za preuzimanje drugih aplikacija na kompromitovane uređaje ili za klikove na oglase od kojih zarađuju vlasnici malvera.

U izveštaju koji je jula prošle godine objavio Check Point spominje se marketing kompanija Yingmob iz Kine, koja je glavni osumnjičeni za malvere HummingBad za Android i YiSpecter za iOS.

HummingBad je pronađen u više od 200 aplikacija, a procenjuje se da mesečno zaradi oko 300000 dolara.

Dvadeset nedavno otkrivenih aplikacija sadrže novu verziju malvera HummingBad, koja je nazvana HummingWhale. Malver je u novoj verziji pretpeo velike promene kad je reč o njegovom načinu rada.

Check Point je identifikovao nekoliko novih primeraka HummingBad malvera koji rade kao što je radila i prethodna verzija i koji reklamiraju novu verziju HummingWhale u sklopu svojih aktivnosti. Novi malver sadrži glavni payload u fajlu "group.png", koji je ustvari apk fajl, koji može biti pokrenut kao izvršni fajl. Ovaj .apk radi kao dropper, koji se koristi za preuzimanje i izvršavanje dodatnih aplikacija. To je taktika slična onoj koju su koristile prethodne verzije malvera HummingBad. Međutim, ovaj dropper ide i korak dalje. On koristi Android plugin nazvan DroidPlugin, koji je razvila kompanija Qihoo 360, za instalaciju lažnih aplikacija na virtuelnoj mašini.

HummingWhale žrtvama prikazuje oglase, ali kada korisnik pokuša da ih zatvori, malver otvara virtuelnu mašinu i instalira reklamiranu aplikaciju unutar nje.

Na ovaj način autori HummingBad malvera zarađuju od svake instalacije preko partnerskih programa, instalirajući veliki broj aplikacija na inficiranim uređajima koje se ne pojavljuju na listi aplikacija instaliranih na uređaju.

VM komponenta otežava antivirusima da primete zlonamerno ponašanje HummingWhale malvera, kao i Googleovim bezbednosnim proverama da otkriju maliciozne aplikacije pre nego što se one nađu u Play prodavnici.

HummingWhale ima još jednu mogućnost, a to je da objavljuje ocene u Play prodavnici u ime žrtava, korisnika inficiranih uređaja. Ta taktika donosi dodatni profit autorima malvera ili daje podsticaj drugim malicioznim aplikacijama. Ovakva vrsta aktivnosti prvi put je primećena kod familija malvera kao što su Googlian ili CallJam.

Posle otkrića HummingWhale malvera, Google je uklonio inficirane aplikacije iz svoje prodavnice, koje se nisu nalazile samo na Google Play, već su se mogle preuzeti i iz nezvaničnih prodavnica aplikacija.

Aplikacije inficirane malverom HummingWhale su:

com.bird.sky.whalecamera - Whale Camera

com.op.blinkingcamera - Blinking Camera

com.fishing.when.orangecamera - Orange Camera

com.note.ocean.camera - Ocean camera

io.zhuozhuo.snail.android_snails -蜗牛手游加速器-专业的vpn，解决手游卡顿延迟问题

com.cm.hiporn - HiPorn

com.family.cleaner - Cleaner: Safe and Fast

com.wall.fast.cleaner - Fast Cleaner

com.blue.deep.cleaner - Deep Cleaner

com.color.rainbow.camera - Rainbow Camera

com.ogteam.love.flashlight - com.qti.atfwd.core