virus malware final thinkstock

HummingBad è un malware Android che controlla oltre 10 milioni di dispositivi

Lorenzo Delli -

La società Check Point ha diramato in queste ultime ore un comunicato stampa e svariate informazioni a riguardo di HummingBad, un malware indirizzato proprio ad Android sviluppato da un gruppo di cyber-criminali cinese denominato Yingmob.

Check Point ha scoperto HummingBad già da questo febbraio, studiandone dinamiche e funzionamento prima di generare inutili allarmismi. Sta di fatto che HummingBad installa un rootkit persistente sui dispositivi colpiti, andando a sostituire gli annunci pubblicitari con altri annunci che ovviamente generano profitti per Yingmob (si parla di 300.000$ al mese) e che, come se non bastasse, è anche in grado di installare applicazioni non desiderate.

LEGGI ANCHE: GODLESS è un nuovo malware che sfrutta vari exploit per ottenere i permessi di root

Potreste aver letto sul web che HummingBad avrebbe già colpito qualcosa come 85 milioni di dispositivi. In realtà la questione non è molto chiara. Nel comunicato stampa si parla di 85 milioni di dispositivi, mentre nel dettagliato report redatto da Check Point e nel post sul blog ufficiale dell’azienda si fa riferimento a 10 milioni di dispositivi infetti in tutto il mondo. Sospettiamo che la cifra più alta faccia riferimento al bacino di dispositivi, Apple compresi, infetti da software malevolo realizzati da Yingmob. Tale società infatti sarebbe anche responsabile di Yispecter, un malware che colpisce proprio dispositivi iOS.

Il grafico relativo alla diffusione di HummingBad. L'Italia non compare tra i paesi più colpiti.
Il grafico relativo alla diffusione di HummingBad. L’Italia non compare tra i paesi più colpiti.

Check Point, come già accennato, ha redatto un interessante documento (in inglese) in cui non solo documenta la provenienza del malware in questione con tantissimi dettagli, ma anche in cui spiega il funzionamento del suddetto a livello di codice. Ciò comunque che interesserebbe l’utente “comune” sarebbe un elenco di app infette da non scaricare sui propri dispositivi. Il problema è che neanche Check Point sa stilare un elenco completo delle applicazioni coinvolte: sappiamo che HummingBad spedisce notifiche a Umeng, un servizio di tracking e analytic, e che tali notifiche arrivano da oltre 200 applicazioni. Secondo Check Point però solo il 25% di esse sarebbero effettivamente malevole.

Il grafico a torta mostra le versioni di Android colpite dal malware in percentuale.
Il grafico a torta mostra le versioni di Android colpite dal malware in percentuale.

L’unico nome di applicativo che si riesce ad estrapolare dal documento redatto è Hummer Launcher, un launcher per Android facilmente reperibile su Google. I consigli sono i soliti: non scaricate applicazioni da fonti ignote, e anche quando scaricate applicazioni o giochi dal Play Store, controllate sviluppatore, recensioni e che non sia la copia di un qualche software famoso magari ancora non sbarcato ufficialmente su Android. Per completezza vi riportiamo anche il comunicato stampa ufficiale.

Check Point Software Technologies, azienda specializzata in cybersicurezza, ha reso noto un’analisi dettagliata della campagna del malware Android Hummingbad.

Per cinque mesi, il team di ricerca per la sicurezza mobile di Check Point è riuscito ad entrare in contratto parecchie volte con Yingmob, il gruppo di cybercriminali cinesi che si nasconde dietro la campagna del malware Hummingbad.Hummingbad è un malware scoperto da Check Point lo scorso febbraio, che installa un rootkit sui dispositivi Android, genera introiti dalla pubblicità ingannevole e permette l’installazione di altre app fraudolente.

Yingmob opera insieme ad un’azienda cinese del tutto legale, che si occupa di analitiche per la pubblicità, e trae vantaggio dalle sue risorse e dalla sua tecnologia. Il gruppo è molto organizzato, con 25 membri, che si dividono a loro volta in altri quattro gruppi, responsabili dello sviluppo delle componenti malevole di Hummingbad.

Altre aziende di ricerca hanno associato Yingmob ad un malware per iOS chiamato Yispecter, ma le prove trovate dai ricercatori di Check Point confermano che lo stesso gruppo è anche l’artefice di Hummingbad:

  • Yispecter utilizza i permessi aziendali di Yingmob per installarsi nei dispositivi
  • Hummingbad e Yispecter condividono indirizzi di server C&C
  • gli archivi di Hummingbad contengono documenti QVOD, e player porno per iOS presi di mira da Yispecter
  • entrambi installano app fraudolente per trarne guadagni

Yingmob, attraverso Hummingbad, controlla 85 milioni di dispositivi in tutto il mondo, e genera così 300.000$ al mese provenienti da advertising fraudolente. Questo flusso di denaro costante, unito ad una struttura organizzativa molto precisa, dimostra che i cybercriminali riescono a raggiungere l’autonomia finanziaria molto facilmente. Gratificati da questa indipendenza, Yingmob e gruppi simili possono concentrarsi sulle proprie abilità e dirigere le campagne malware verso orizzonti totalmente nuovi.

Secondo il team di ricerca di Check Point, si tratta di un trend in crescita. Ad esempio, questi gruppi potrebbero utilizzare le risorse dei dispositivi per poi creare botnet potenti, creare database di dispositivi per sferrare attacchi altamente mirati, oppure potrebbero creare nuove fonti di reddito vendendo al miglior offerente l’accesso ai dispositivi che controllano. Se non si riesce a rilevare e frenare i comportamenti sospetti, quei milioni di dispositivi Android e i dati che custodiscono, continueranno ad essere in pericolo.

Fonte: Check Point