Empresa china usa adware para obtener ganancias adicionales

El grupo criminal que creó un malware para iOS descubierto el año pasado, parece haber decidido diversificar su gama de objetivos de ataque y ahora amenaza a los usuarios de Android. Según Check Point, la agrupación Yingmob distribuye desde hace cinco meses HummingBad, un software que obliga a ver publicidad y que afectó a 10 millones de usuarios. Los dispositivos Android infectados, principalmente en China e India, dan a los delincuentes ganancias de 300 000 dólares por mes.

Los investigadores piensan que las actividades de Yingmob están vinculadas con una estructura empresarial china legítima, dedicada al análisis de publicidad. Según ellos, la campaña maliciosa utiliza los mismos recursos y tecnologías que las operaciones normales de negocios y se lleva a cabo en paralelo con éstas, proporcionando ingresos adicionales.

Los expertos de Check Point descubrieron el malware para Android HummingBad en febrero pasado. Funciona como programa publicitario e instala un rootkit para asegurar su presencia permanente en el sistema. Es de destacar que HummingBad usa los mismos servidores de administración que YiSpecter, una aplicación potencialmente peligrosa para iOS, conocida desde el año pasado. Los investigadores han identificado otra de las características de estos programas maliciosos: usa un certificado de desarrollador corporativo para firmar el código, tiene la posibilidad de instalar otras aplicaciones fraudulentas, y en los repositorios de HummingBad hay datos sobre el reproductor multimedia QVOD, en el que YiSpecter también estaba interesado.

La empresa de marketing que lucra de manera tan poco ortodoxa está registrada en Beijing y su negocio secundario, tal como lo constató Check Point, se encuentra a 250 millas (400 kilómetros) de la capital, en la provincia de Chongqing. En este departamento hay 25 empleados que trabajan en tres áreas: unos desarrollan los componentes perjudiciales de HummingBad; otros administran la plataforma de gestión de análisis de publicidad y otros se dedican a distribuir el APK desde el servidor. En su calidad de app residente, HummingBad envía notificaciones a la compañía de analistas chinos Umeng, con cuya ayuda los operadores de malware pueden monitorizar el estado de la actualización.

Los investigadores pudieron dar un vistazo a la cuenta de Yingmob en Umeng. “El malware está tratando de instalarse en cientos, tal vez miles de dispositivos cada día”, declaró a Threatpost Dan Wiley, el jefe del equipo de respuesta de Check Point. “A veces la instalación del malware falla, pero no siempre”, agregó.

En cuanto a la publicidad gráfica, HummingBad tiene todas las características necesarias para mostrarla: puede reproducir todos los días más de 20 millones de estos materiales, para generar más de 2,5 millones de clics e instalar más de 50 mil programas dudosos. Los investigadores calculan que Yingmob gana más de 3 000 dólares diarios con los clics que genera la publicidad y 7 500 dólares (también diarios) por instalar aplicaciones de forma fraudulenta.

La extensa población de HummingBad (que alcanza los 85 millones, pero sólo una pequeña fracción de ellos está instalada como root) crea un gran potencial para el desarrollo ulterior de la actual campaña: la creación de una botnet y la realización de ataques selectivos contra empresas y organizaciones gubernamentales. “La evidente autosuficiencia y la estructura organizativa de Yingmob crearon buenas condiciones previas para otros negocios —se observa en el informe de Check Point— incluyendo la comercialización del acceso a 85 millones de dispositivos Android que están bajo su control”.

Threatpost.com