Android-зловред HummingBad, заразивший в прошлом году 10 млн устройств, появился в ином обличье с новыми техниками, позволяющими более эффективно навязывать рекламу, чем это получалось у предшественника.

Новую итерацию, именуемую HummingWhale, исследователи из Check Point обнаружили на Google Play, где она распространялась в комплекте с 20 разными программами: камерами, музыкальными плеерами, фонариками, приложениями для взрослых. Google получила соответствующее уведомление две недели назад и уже удалила потенциально опасный контент.

«Эволюция HummingBad была лишь вопросом времени, и вот он вновь проник на Google Play», — пишет в блоге Check Point Орен Кориат (Oren Koriat), специалист по мобильным угрозам. По его словам, в ходе новейшей киберкампании зараженные приложения были скачаны ничего не подозревающими пользователями несколько миллионов раз.

Как показал анализ, HummingWhale во многом схож с HummingBad. «При загрузке он зарегистрировал несколько событий, таких как TIME_TICK, SCREEN_OFF и INSTALL_REFERRER, что выглядело весьма подозрительно в этом контексте», — отметил Кориат. Подозрения усилились, когда исследователи обнаружили в коде строки, характерные для HummingBad, а также зашифрованный файл assets/group.png размером 1,3 МБ, идентичный файлу HummingBad, хотя последний носил другое имя — file-explorer.

HummingWhale

Исследователи из Check Point обнаружили HummingBad в феврале прошлого года. В июле был опубликован отчет об этом Android-зловреде, и тогда же была поименована стоящая за ним группировка — Yingmob. Эксперты связывают деятельность Yingmob с легитимной китайской бизнес-структурой, занимающейся аналитикой рекламы. К середине года популяция HummingBad настолько разрослась, что на его долю, по данным Check Point, приходилось 72% атак на мобильных платформах, а его операторы ежемесячно выручали по $300 тыс. от мошеннического показа рекламы.

Успехи HummingWhale пока несколько скромнее; по оценке Check Point, ему удалось заразить от 2 млн до 12 млн устройств. После запуска вредоносный group.png (на самом деле apk-файл) работает как дроппер, загружая несколько дополнительных приложений, аналогично прежним версиям HummingBad. Однако последующие действия дроппера характерны лишь для HummingWhale: «Он использует Android-плагин, именуемый DroidPlugin, разработки Qihoo 360, для загрузки мошеннических приложений в виртуальную машину».

DroidPlugin представляет собой фреймворк для виртуализации и проксирования, работающий на уровне приложений. Его применяют в основном разработчики приложений для Android с тем, чтобы сократить размеры APK и запустить несколько экземпляров приложения на устройстве. Авторы HummingWhale используют DroidPlugin для генерации поддельных ID реферера и получения комиссионных за показ рекламы.

«Вначале командный сервер отдает подставную рекламу и приложения резидентному зловреду, который предъявляет их пользователю, — рассказывает Кориат. — Если пользователь пытается закрыть рекламу, приложение, уже закачанное зловредом, выгружается в виртуальную машину и запускается, как если бы это было реальное устройство. Это действие порождает поддельный ID реферера, используя который зловред приносит доход преступникам».

Эта техника позволяет устанавливать приложения без повышенных прав, а также скрывать вредоносные функции, в том числе от сканеров Google Play. Помимо принудительного показа рекламы HummingWhale умеет скрывать свое основное приложение после установки, что сильно затрудняет его деинсталляцию. Авторы новоявленного зловреда также позаимствовали несколько мошеннических трюков у других вирусописателей. «HummingWhale также старается повысить свой рейтинг на Google Play, добавляя баллы и комментарии, как это делали ранее Gooligan и CallJam», — сказано в отчете Check Point.

Категории: Аналитика, Вредоносные программы