Check Point Software ha scoperto una nuova variante del malware per dispositivi mobili HummingBad all’interno di 20 app disponibili su Google Play. Le app infettate da questa nuova minaccia sono state scaricate milioni di volte da utenti inconsapevoli. "Check Point ha informato il team di sicurezza di Google di questo pericolo, spiegano gli esperti di sicurezza dell'azienda, e le app sono state rimosse da Google Play". 

"Questa nuova variante di malware, chiamata HummingWhale, si legge nella nota informativa resa disponibile da Check Point, utilizza tecniche innovative per perpetrare i crimini ancora meglio di prima. Già HummingBad, infatti, era un malware estremamente sofisticato, in grado di prendere il pieno controllo del dispositivo della vittima, ed è stata solo questione di tempo perché riuscisse a trovare un varco su Google Play".

La versione HummingWhale ha destato i primi sospetti non appena i ricercatori di Check Point hanno analizzato alcune di queste app, che hanno rivelato comportamenti e un codice sospetti. Secondo quanto evidenziato da Check Point tutte le app incriminate sono state caricate sotto false identità di presunti sviluppatori cinesi. La proprietà più sospetta rinvenuta in queste app è un file crittografato di 1.3MB, sospetto anche per la grandezza, in comune con alcune forme di HummingBad.

In generale, HummingWhale agisce attarverso il server Command&Control, che trasmette adv e app false al malware installato, che le propone a sua volta all’utente. Una volta che quest’ultimo cerca di chiudere l’adv, l’app, che è stata precedentemente insatallata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un’ID referred falsa, utilizzata dal malware per generare gli introiti per i criminali.  

"Questa tecnica offre molteplici vantagg, spiegno in Check Point: per prima cosa, permette al malware di installare app senza chiedere permessi avanzati, nasconde l’attività malevola, riuscendo così a insidiarsi in Google Play, non è più legata al rootkit e, infine, riesce a installare una quantità infinita di app fraudolente, senza sovraccaricare il dispositivo".