Возвращение HummingBad: что это такое

Исследователи Check Point нашли новый вариант вредоносной программы HummingBad, скрытой в более чем 20 приложениях Google Play.

Зараженные приложения этой кампании были загружены несколько миллионов раз ничего не подозревающими пользователями. Check Point сообщил команде Google Security о приложениях, которые затем были удалены из Google Play.

Этот новый вариант, получивший название «HummingWhale», включает в себя новые передовые технологии, которые позволяют ему лучше мотивировать рекламу, чем когда-либо прежде.

HummingBad — это вредоносное ПО, впервые обнаруженное Check Point на устройствах клиентов в феврале 2016 года. HummingBad отличается исключительно сложным и хорошо разработанным вредоносным ПО, которое использует тактику цепной атаки и руткит, чтобы получить полный контроль над зараженным устройством. В июле 2016 года, Check Point раскрыла всю инфраструктуру, лежащую в основе деятельности вредоносного ПО, и даже сумела идентифицировать Yingmob, группу, стоящую за этой кампанией.

Вредоносные программы были распространены через сторонние магазины приложений и затронули более 10 миллионов жертв, ежедневно внедряясь в тысячи устройств и похищая по меньшей мере 300 000 долларов в месяц. HummingBad был настолько распространен, что в первой половине 2016 года он занял четвертое место в списке «наиболее распространенных вредоносных программ во всем мире» и доминировал среди мобильных угроз в более чем 72% атак.

Вероятно, это был только вопрос времени, прежде чем HummingBad развился и попал в Google Play. Вредоносные программы HummingWhale сначала вызывали подозрения, когда исследователи Check Point анализировали одно из приложений. Он зарегистрировал несколько событий при загрузке, таких как TIME_TICK, SCREEN_OFF и INSTALL_REFERRER, что было сомнительным в этом контексте. Проверка сходства кода показала, что это было только одно приложение из ряда приложений с общей структурой имен — com.XXXXXXX.camera (например, com.bird.sky.whale.camera, com.color.rainbow.camera, com.fishing .when.orangecamera).

Все приложения были загружены под именами поддельных китайских разработчиков. В дополнение к семейству камер исследователи смогли идентифицировать еще 16 отдельных имен пакетов, связанных с одним и тем же вредоносным ПО, некоторые из которых также были найдены в Google Play.

Однако наиболее странным свойством этих приложений был зашифрованный файл 1,3 МБ под названием «assets / group.png» — подозрительно большой файл. Некоторые более поздние образцы HummingBad, замаскированные под приложение «файл-проводник», имели точно такой же зашифрованный файл с аналогичным размером. Новые образцы HummingWhale также соответствуют нескольким другим признакам и идентификаторам, рассмотренным в предыдущих примерах, такими как регистрация на определенные события и некоторые идентичные строки в коде и сертификатах.

Кроме того, было определено несколько новых образцов HummingBad, которые работают как предыдущая версия, и начали продвигать новую версию HummingWhale в рамках своей деятельности. Это новое вредоносное ПО также было сильно упаковано и содержало его основную полезную нагрузку в файле «group.png», который, по сути, является apk, то есть он мог запускаться как исполняемый файл.

Это .apk работает как капельница, используемая для загрузки и выполнения дополнительных приложений, подобно тактике, используемой предыдущими версиями HummingBad. Тем не менее, эта капельница пошла гораздо дальше. Она использует подключаемый модуль Android под названием DroidPlugin, первоначально разработанный Qihoo 360, для загрузки мошеннических приложений на виртуальную машину.

Во-первых, сервер управления и контроля (C & C) предоставляет поддельные объявления и приложения установленному вредоносному программному обеспечению, которое представляет их пользователю. Когда пользователь попытается закрыть объявление, приложение, которое уже загружено вредоносным ПО, загружается на виртуальную машину и запускается, как если бы оно было реальным устройством. Это действие генерирует поддельный идентификатор реферера, который использует вредоносное ПО для получения доходов киберпреступниками.

Этот метод имеет ряд преимуществ:

1. HummingBad позволяет вредоносным программам устанавливать приложения без получения разрешений.
2. Маскирует вредоносную активность, которая позволяет ему проникать в Google Play.
3. Позволяет вредоносному ПО отпустить встроенный руткит, поскольку он может достичь такого же эффекта даже без него.
4. Он может установить бесконечное количество мошеннических приложений без перегрузки устройства.

HummingWhale также проводил дальнейшие вредоносные действия, такие как отображение незаконных объявлений на устройстве и скрытие исходного приложения после установки, что было отмечено несколькими пользователями. Как видно из изображения ниже, HummingWhale также пытается повысить свою репутацию в Google Play с использованием мошеннических оценок и комментариев, аналогичных вредоносным программам Gooligan и CallJam.

Это яркий пример того, как разработчики вредоносного ПО изучают друг друга, так как тактика, которая была введена одним из них, быстро принимается другими. Мошеннические рейтинги, оставленные такими вредоносными программами, являются еще одним напоминанием о том, что пользователи не могут полагаться на Google Play для защиты и должны применять дополнительные более совершенные средства безопасности.