ХумингБед андроид малвер се вратио
Категорија : Вести
Андроид малвер ХумингБед који је, према неким проценама, до сада инфицирао 85 милиона уређаја широм света, недавно је пронађен у 46 нових апликација, од се којих 20 њих некако нашло у Гугле Плеј продавници, што значи да су апликације успеле да прођу Гуглеове безбедносне провере.
Према подацима израелске фирме Чек Поинт, у свету Андроид малвера, ХумингБад је тренутно највећи играч јер је одговоран за 72% свих инфекција мобилних уређаја.
Велики број инфекција је малверу ХумингБед обезбедило место међу првих десет најактивнијих фамилија малвера у протеклих неколико месеци.
ХумингБед је једва годину дана стар малвер, који је први пут детектован у фебруару прошле године. Малвер је коришћен за преузимање других апликација на компромитоване уређаје или за кликове на огласе од којих зарађују власници малвера.
У извештају који је јула прошле године објавио Чек Поинт спомиње се маркетинг компанија Јингмоб из Кине, која је главни осумњичени за малвере ХумингБед за Андроид и ЈиСпектер за иОС.
ХумингБед је пронађен у више од 200 апликација, а процењује се да месечно заради око 300000 долара.
Двадесет недавно откривених апликација садрже нову верзију малвера ХумингБед, која је названа ХумингВејл. Малвер је у новој верзији претпео велике промене кад је реч о његовом начину рада.
Чек Поинт је идентификовао неколико нових примерака ХумингБед малвера који раде као што је радила и претходна верзија и који рекламирају нову верзију ХумингВејл у склопу својих активности. Нови малвер садржи главни паyлоад у фајлу “гроуп.пнг”, који је уствари апк фајл, који може бити покренут као извршни фајл. Овај .апк ради као дроппер, који се користи за преузимање и извршавање додатних апликација. То је тактика слична оној коју су користиле претходне верзије малвера ХумингБед. Међутим, овај дроппер иде и корак даље. Он користи Андроид плугин назван ДроидПлугин, који је развила компанија Киксу 360, за инсталацију лажних апликација на виртуелној машини.
ХумингВејл жртвама приказује огласе, али када корисник покуша да их затвори, малвер отвара виртуелну машину и инсталира рекламирану апликацију унутар ње.
На овај начин аутори ХумингБед малвера зарађују од сваке инсталације преко партнерских програма, инсталирајући велики број апликација на инфицираним уређајима које се не појављују на листи апликација инсталираних на уређају.
ВМ компонента отежава антивирусима да примете злонамерно понашање ХумингВејл малвера, као и Гуглеовим безбедносним проверама да открију малициозне апликације пре него што се оне нађу у Плеј продавници.
ХумингВејл има још једну могућност, а то је да објављује оцене у Плеј продавници у име жртава, корисника инфицираних уређаја. Та тактика доноси додатни профит ауторима малвера или даје подстицај другим малициозним апликацијама. Оваква врста активности први пут је примећена код фамилија малвера као што су Гуглиан или ЦалЏем.
После открића ХумингВејл малвера, Гугле је уклонио инфициране апликације из своје продавнице, које се нису налазиле само на Гугле Плеј, већ су се могле преузети и из незваничних продавница апликација.