Almeno 10 milioni di dispositivi Android sono stati infettati da un malware chiamato HummingBad, secondo la società di di sicurezza informatica Check Point, che ha tenuto sotto monitoraggio il malware da quando è stato scoperto nel mese di febbraio 2016. Per mesi, il numero di infezioni è stato costante, ma a metà maggio il numero di infezioni è drasticamente aumentato.
Secondo Check Point, dietro al malware HummingBad c’è un gruppo che è un team di sviluppatori di Yingmob, una società con sede a Pechino che vale svariati milioni di dollari che si occupa di analizzare le reti pubblicitarie in Cina.
Il malware può infettare un dispositivo Android e ottenere l’accesso root usando un rootkit, un tipo di programma in grado di accedere da remoto a tutti i contenuti di un PC o un dispositivo mobile, senza bisogno di autorizzazione e senza che l’utente se ne accorga. Se il malware non riesce ad avere il controllo del dispositivo al primo tentativo, il malware tenta di ingannare il proprietario di un telefono cellulare chiedendogli i permessi per accedere al sistema, utilizzando false notifiche di aggiornamenti.
"Yingmob gestisce diverse piattaforme legittime di tracking" ha spiegato l’israeliana Check Point nell’analisi pubblicata. "Il team responsabile dello sviluppo dei componenti maligni è il team di sviluppo per la piattaforma ‘Overseas’, che comprende quattro gruppi, con un totale di 25 dipendenti."
HummingBad è in grado di infettare un dispositivo mobile semplicemente quando gli utenti visitano un sito web che contiene del codice dannoso che fa scaricare il malware sul device.
Una volta che il proprietario del telefono perde il controllo del dispositivo, il malware fa clic su annunci e download di applicazioni senza permesso, cercando di generare introiti pubblicitari.
"Il primo componente tenta di ottenere l’accesso root su un dispositivo con un software rootkit che sfrutta varie vulnerabilità. In caso di successo, gli attaccanti ottengono l’accesso completo a un dispositivo," Check Point ha detto. "Se il tentativo fallisce, un secondo componente utilizza una notifica di aggiornamento del sistema falsa per ingannare gli utenti a concedere autorizzazioni a livello di sistema a HummingBad."
Quale è l’obiettivo del malware? L’accesso viene richiesto per generare fraudolenti introiti pubblicitari, che secondo una stima di Check Point possono arrivare fino a 300.000 dollari al mese, attraverso il download forzato di applicazioni e mostrando e facendo click automatici su annunci pubblicitari.
Se il problema fosse solo quello che l’utente vede della pubblicità non è grave (è odioso ma non grave a livello di privacy) ma il punto è che al gruppo viene dato accesso completo e libero al dispositivo, quindi a tutti i dati dell’utente, Check Point ha segnalato. La società di sicurezza ha stimato che più di 85 milioni di smartphone hanno applicazioni installate riconducibili Yingmob, anche se solo una piccola percentuale include il software dannoso.
Check Point non è l’unica società di sicurezza che sta tenendo sotto-controllo Yingmob, tuttavia, in quanto CNET.com riferisce che un portavoce di Google ha detto che la società è stata a lungo "a conoscenza di questa famiglia di malware in evoluzione e stiamo migliorando costantemente i nostri sistemi per rilevarli. Blocchiamo attivamente installazioni di applicazioni infette per mantenere gli utenti e le loro informazioni al sicuro ".
La maggior parte delle vittime di HummingBad risultano risiedere in Cina e India, con 1,6 milioni e 1,35 milioni di casi riscontrati, rispettivamente. Filippine, Indonesia e Turchia sono altri paesi della lista, oltre a Stati Uniti, Regno Unito e Australia.
