Android-вредонос HummingBad уже много месяцев остается является одной из наиболее распространенных угроз для мобильных девайсов, хотя данная малварь появилась всего год назад. Исследователи израильской компании Check Point описывают HummingBad так: «вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями. Может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями».
Ранее HummingBad уже находили в составе различных приложений в официальном каталоге Google Play, а также в составе приложений, распространяющихся через сторонние площадки. По оценкам специалистов, вредонос заразил десятки миллионов устройств по всему миру и еще в середине 2016 года занимал 72% рынка малвари для Android. Аналитики Check Point полагают, что малварь приносит своим авторам около $300 000 ежемесячно.
Учитывая вышеприведенные цифры, эволюция HummingBad была лишь вопросом времени, и 23 января 2017 года исследователи действительно сообщили, чтобы была обнаружена новая версия вредоноса, которая получила название HummingWhale.
Специалисты пишут, что поведение малвари изменилось. Судя по всему, авторы HummingWhale отказались от руткита, при помощи которого малварь принудительно загружала и устанавливала на устройство нежелательные приложения. Этот модуль был заменен на DroidPlugin. Данный плагин был разработан компанией Qihoo 360 для запуска виртуальных машин на устройствах Android. Теперь HummingWhale показывает своим жертвам нежелательную рекламу, а когда пользователь предпринимает попытку ее закрыть, вредонос запускает виртуальную машину и устанавливает рекламируемое приложение внутри нее. Таким образом HummingWhale может установить на зараженное устройство неограниченное количество приложений. Напомню, что за каждую такую установку авторы малвари получают деньги.
Исследователи отмечают, что использование виртуальных машин осложняет обнаружение вредоносной активности HummingWhale. Также за счет этого малвари будет проще проникнуть в официальный каталог Google Play, где эксперты уже обнаружили 20 инфицированных приложений, опубликованных от имени фальшивых китайских разработчиков.
Именно с Google Play связана еще одна новая функция малвари. Теперь HummingWhale публикует обзоры и поднимает рейтинги определенным приложениям в официальном каталоге. Разумеется, делается это от лица жертвы. Похожее поведение демонстрируют мобильные вредоносы Gooligan и CallJam, но в коде HummingBad ранее подобных функций не было.
Все зараженные приложения уже были удалены из Google Play, но исследователи предупреждают, что HummingWhale можно обнаружить и в сторонних каталогах.