Android y su amenaza «Hummingbad»

HummingBad la amenaza de Android

Android y su amenaza «Hummingbad»

La amenaza de Android se llama HummingBad. Las estimaciones son que controla más de 10 millones de dispositivos. Obtiene unos beneficios de alrededor de 300.000 dólares al mes en anuncios fraudulentos. Este malware fue activado en agosto de 2015 en China por Yingmob, una compañía del país asiático que allí opera legalmente. Oficialmente esta empresa ofrece servicios de publicidad a otras empresas. Pero según otras fuentes es una organización de cibercriminales descentralizados que operan en la red.

HummingBad la amenaza de Android

Check Point lleva siguiendo el rastro de HummingBad desde febrero. No es como otros malwares para Android: este es peor. Al poco de detectarlo, dieron con el servidor C&C, que les llevó hasta las oficinas de la empresa china. «Analizando el código, descubrimos que manda notificaciones a Umeng, un servicio de estadísticas y trackeo desde donde lo manejan los atacantes», cuenta la compañía en su informe From  HummingBad to worse.

No es la primera vez que oyen hablar de Yingmob. La organización china, en otoño del año pasado también desarrolló Yispecter, otro malware que opera en el iOS de los dispositivos de Apple. Como HummingBad, también instala aplicaciones sin el consentimiento del usuario, ralentiza el sistema con publicidad y bloquea determinados procesos sustituyéndolos por otros de su cosecha.

El panel de control de la cuenta de Yingmob en Umeng registraba más de 200 apps, «la mayoría diferentes variaciones del mismo núcleo de apps«. Checkpoint sospecha que el 25% son maliciosas. «Combinando todas las campañas, se incluyen cerca de 85 millones de dispositivos», asegura la firma de ciberseguridad. O lo que es lo mismo: Yingmob tiene apps instaladas en 85 millones de teléfonos y tabletas, de las cuáles, 1 de cada 4 son malware.

Gráfico de infecciones de HummingBad en Android

Gráfico de infecciones de HummingBad

Cómo funciona y qué hace

En 2015, Kaspersky detectó casi tres millones de paquetes de instalación malignos para smartphones en Internet y 885.000 nuevos programas de malware. «El malware para móviles continua evolucionando hacia la monetización, con los creadores asegurándose de que sus creaciones son capaces de obtener dinero de sus víctimas», cuenta la firma de ciberseguridad rusa.

A HummingBad se llega por error, por entrar al sitio incorrecto. Al pinchar en el banner malo o acceder a la web infectada la descarga comienza automáticamente. Así, el malware intenta acceder a la parte del sistema operativo que corre en segundo plano a través del directorio raíz. Si no lo consigue, intenta engañar al usuario solicitándole la descarga de un paquete de actualización para el software del teléfono.

Al infectar el dispositivo, el usuario deja de tener total control sobre el mismo. HummingBad espía nuestra privacidad, roba los datos y corre en segundo plano. Es capaz de instalar apps sin permiso y llega, incluso, a generar una simulación de la tienda Google Play una vez que el usuario decide la descarga de alguna de las aplicaciones. También llena el teléfono o la tablet de anuncios, con la consiguiente pérdida de potencia y de velocidad que eso provoca.

Hummingbag la amenaza de Android

HummingBad

300.000 dólares al mes

Check Point ha conseguido recopilar los datos de HummingBad. El informe indica que la aplicación muestra más de 20 millones de anuncios al día. Yingmob, la empresa desarrolladora del malware, tiene un alto ratio de clicks (un 12,5%) en sus anuncios. 2,5 millones de clicks diarios por la instalación fraudulenta en  de 50.000 apps al día en los Android infectados.

Yingmob ingresa 0,00125 dólares por click. Si multiplicamos este número por 2,5 millones nos da como resultado 3.125 dólares de ganancia al día. Asimismo, por cada app descargada a un dispositivo Android gana 0,15 dólares. Haciendo la operación (0,15 x 50.000), la empresa china gana 7.500 dólares diarios. El resultado: Más de 10.000 dólares al día por infectar dispositivos Android.

Google ha lanzado dos paquetes de actualizaciones para Android. En declaraciones al Guardian: «llevamos tiempo pendientes de esta familia de malware. Estamos constantemente mejorando nuestros sistemas para que lo detecten. Bloqueamos las instalaciones de las apps infectadas para mantener a los usuarios y su información a salvo». China es el país con más dispositivos infectados, con 1,6 millones. Le siguen India (1,35 millones) y Filipinas (521.000). Aunque a Europa no ha llegado más que hasta unos pocos dispositivos de Ucrania y Rumanía.

Hummingbag la amenaza de Android

HummingBad

De nuevo el mejor consejo es tener mucha cautela. En las descargas que realizamos, las aplicaciones que instalamos en nuestros dispositivos Android. No todas las aplicaciones que están en las tiendas son inocuas. Debemos de asegurarnos los permisos que estamos otorgando a las aplicaciones a nuestros dispositivos.