Sledujte nás na YouTube

Nebezpečný malware HummingBad v nové verzi znovu útočí

Čínský malware HummingBad, který udeřil už v loňském roce a skrze který jeho autoři vydělávali až 300 000 dolarů měsíčně, se objevil v nové verzi. Tu objevili výzkumníci společnosti Check Point; nová varianta malwaru se ukrývala ve více než 20 aplikacích na Google Play. Aplikace infikované v rámci této kampaně byly stažené miliony nic netušících uživatelů. Check Point o aplikacích informoval bezpečnostní tým Google a aplikace byly následně z Google Play stažené.

Nová varianta mobilního malwaru se jmenuje “HummingWhale” a využívá nové techniky, takže reklamní podvody jsou sofistikovanější než kdy dříve. HummingBad byl nejvýraznějším mobilním malwarem roku 2016. Obětí se stalo více než 10 milionů uživatelů, takže bylo jen otázkou času, kdy se objeví nějaká nová verze a najde si cestu na Google Play.

Godless Android malware

Všechny nové podvodné aplikace byly publikovány pod falešnými jmény čínských vývojářů. Princip je jednoduchý. Nainstalovaný malware dostává od řídícího a velícího (C&C) serveru falešné reklamy a aplikace a nabízí je uživateli. Jakmile se uživatel pokusí zavřít reklamu, aplikace, která již byla malwarem stažena, je nahrána do virtuálního stroje a spouští se, jako by byla ve skutečném zařízení. Vytvoří se také falešná identita, kterou malware používá ke generování příjmů pro kyberzločince.

Tato metoda má několik „výhod“:

  • Umožňuje malwaru instalovat aplikace bez nutnosti získat nejdříve potřebná vyšší oprávnění.
  • Maskuje škodlivou činnost, což umožňuje proniknout do Google Play.
  • Umožňuje malwaru spustit zabudovaný rootkit, takže může dosáhnout stejného efektu i bez něho.
  • Muže instalovat neomezený počet podvodných aplikací bez přetížení zařízení.

hummingbad

Nová hrozba je ukázkovým příkladem, jak se vývojáři od sebe navzájem učí a jak se vyvíjí a přejímají útočné techniky, protože podobně jako u škodlivých kódů Gooligan a CallJam i HummingWhale se snaží podvodně zvyšovat hodnocení na Google Play, aby aplikace působily věrohodně. Znovu je to tedy připomínka, že nelze spoléhat jen na ochranu na Google Play, ale je potřeba dále do svého bezpečí investovat a používat pokročilé zabezpečení.

Jiří Hrma

Zakladatel a šéfredaktor SMARTmania.cz, fanoušek moderních technologií a chytrých zařízení, milovník elektronické hudby a vyznavač extrémních sportů. Máte zájem o spolupráci? Ozvěte se na redakce@smartmania.cz.

12 komentářů

  1. Aldo (neregistrovaný)

    Lepší je bezpečný OS – W 10M

    • A ještě lepší bezpečný OS se zájmem u vývojářů a výrobce – iOS.

      • Je to pravda, iOS se tyhle problémy zatím vyhýbají.
        Google byel zpřísnit kontrolu aplikací které pouští do obchodu.
        Uživateli nezbývá nic jiného než si před instalací aplikace nejdřív dobře rozmyslet zda ji opravdu potřebuje a určitě pročíst oprávnění která vyžaduje.
        Investice do zabezpečení prosím, ale nejsem si jist zda bude nějaký antivir co platný.
        Uvítal bych seznam aplikací kterých se to týkalo a jak se případně chránit.

      • Martin P. (neregistrovaný)

        Pánové na tenhle způsob “napadení” je náchylný zatím jakýkoliv systém.
        Princip vytvoření aplikace, která mimo to co má, na pozadí také kliká na hodnocení a dává „lajky“ a tak falešně propaguje nějakou aplikaci je moc primitivní a než nějaká antimalware aplikace na smartphonů je proti němu účinnější kontrola na straně marketu.

        To že v sobě aplikace má sandbox kam jakoby instaluje jiné aplikace a hodnotí je. Tím zvedá rating je pro uživatele možná „bezpečnější“. Ale to neznamená, že nezneužívá identitu vlastníka smartphonů. Protože jeho pozitivní hodnocení se může objevit u aplikace, se kterou může hrubě morálně\společensky\nábožensky nesouhlasit.

      • lerion (neregistrovaný)

        iOS je plny problemu typu “posli sms s nekolika super znaky a odpalis tim uzivateli mobil”. Dekuji nechci.

      • lerion (neregistrovaný): Hehe, nevím kvůli jakému OS dělali operátoři a vývojáři práci za výrobce přístrojů aby ochránili uživatele proti škodlivému kódu, ale u iOS to nebylo, neb Apple do týdne vydal a především distribuoval opravu přímo v OS, takže kvůli iOS to fakt nebylo:D

  2. Martin P. (neregistrovaný)

    To Tedy 30.1.2017 v 15:27 aplikace která dávala falešné hodnocení na marketu už v minulosti byla i na iTunes.

    Rozhodně nebyla tak pokročilá a nemáte jistotu že na jailbreaknutý iPhony nic takového mimo iTunes není.

  3. Seznam aplikací kterých se to týká a které již google z obchodu (nevím jestli vsechny, zkoušel jsem vyhledat první tři) odstranil.
    https://howtoremove.guide/hummingwhale-malware-android-removal/

    • Té blinking camera jsem si v Google Play všimla. A myslím, že to mělo vysoké hodnocení bez komentářů. Zřejmě by měly být podezřele aplikace, které budou mít hodně pozitivních hodnocení a přitom téměř žádný slovní komentář…

  4. Jednou se mi stalo v mobilních Windows, že se mi chtěla stáhnout jakási aplikace Beach girls, kterou jsem rozhodně ve storu nevybrala. Když jsem ji vymazala z fronty, tak za chvíli se chtěla stáhnout znovu…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *