Android y su amenaza «Hummingbad»
La amenaza de Android se llama HummingBad. Las estimaciones son que controla más de 10 millones de dispositivos. Obtiene unos beneficios de alrededor de 300.000 dólares al mes en anuncios fraudulentos. Este malware fue activado en agosto de 2015 en China por Yingmob, una compañía del país asiático que allí opera legalmente. Oficialmente esta empresa ofrece servicios de publicidad a otras empresas. Pero según otras fuentes es una organización de cibercriminales descentralizados que operan en la red.
Check Point lleva siguiendo el rastro de HummingBad desde febrero. No es como otros malwares para Android: este es peor. Al poco de detectarlo, dieron con el servidor C&C, que les llevó hasta las oficinas de la empresa china. «Analizando el código, descubrimos que manda notificaciones a Umeng, un servicio de estadísticas y trackeo desde donde lo manejan los atacantes», cuenta la compañía en su informe From HummingBad to worse.
No es la primera vez que oyen hablar de Yingmob. La organización china, en otoño del año pasado también desarrolló Yispecter, otro malware que opera en el iOS de los dispositivos de Apple. Como HummingBad, también instala aplicaciones sin el consentimiento del usuario, ralentiza el sistema con publicidad y bloquea determinados procesos sustituyéndolos por otros de su cosecha.
El panel de control de la cuenta de Yingmob en Umeng registraba más de 200 apps, «la mayoría diferentes variaciones del mismo núcleo de apps«. Checkpoint sospecha que el 25% son maliciosas. «Combinando todas las campañas, se incluyen cerca de 85 millones de dispositivos», asegura la firma de ciberseguridad. O lo que es lo mismo: Yingmob tiene apps instaladas en 85 millones de teléfonos y tabletas, de las cuáles, 1 de cada 4 son malware.
Cómo funciona y qué hace
En 2015, Kaspersky detectó casi tres millones de paquetes de instalación malignos para smartphones en Internet y 885.000 nuevos programas de malware. «El malware para móviles continua evolucionando hacia la monetización, con los creadores asegurándose de que sus creaciones son capaces de obtener dinero de sus víctimas», cuenta la firma de ciberseguridad rusa.
A HummingBad se llega por error, por entrar al sitio incorrecto. Al pinchar en el banner malo o acceder a la web infectada la descarga comienza automáticamente. Así, el malware intenta acceder a la parte del sistema operativo que corre en segundo plano a través del directorio raíz. Si no lo consigue, intenta engañar al usuario solicitándole la descarga de un paquete de actualización para el software del teléfono.
Al infectar el dispositivo, el usuario deja de tener total control sobre el mismo. HummingBad espía nuestra privacidad, roba los datos y corre en segundo plano. Es capaz de instalar apps sin permiso y llega, incluso, a generar una simulación de la tienda Google Play una vez que el usuario decide la descarga de alguna de las aplicaciones. También llena el teléfono o la tablet de anuncios, con la consiguiente pérdida de potencia y de velocidad que eso provoca.