W ciągu ostatnich dni i tygodni specjaliści od bezpieczeństwa teleinformatycznego wyjątkowo często natrafiają na nowy rodzaj złośliwego oprogramowania, które zainfekowało już miliony smartfonów i tabletów na całym świecie. Internetowy szkodnik jest bardzo opłacalny dla swoich twórców – co miesiąc mogą zgarnąć dzięki niemu nawet 300.000 euro.

Analitycy zagrożeń doszli do wniosku, że twórcy tego złośliwego oprogramowania, nazwanego HummingBad pracują dla chińskiej firmy reklamowej o nazwie Yingmob. W przeszłości firma ta zdobyła rozgłos dzięki sprzedawaniu YiSpecter – malware dla systemu iOS. Złośliwa aplikacja jest ukryta w pozornie legalnych aplikacjach, więc może rozprzestrzeniać się poprzez ściągniecie programów lub gier nawet z oficjalnych sklepów.


Krok po kroku

W przypadku HummingBad właściciel zainfekowanego urządzenie traci nad nim kontrolę, a malware przejmuje uprawnienia systemowe całkowicie wyłączając procedury bezpieczeństwa systemu Android. Kolejnym krokiem ataku jest automatyczne pobieranie przez złośliwe oprogramowanie w tle różnych aplikacji, wyświetlanie banerów reklamowych i generowanie kliknięć na stronach internetowych. Dzięki modelowi „pay per click” i „pay-per-install” firma, która wpuściła HummingBad do sieci zarabia znaczne kwoty. Każdy baner reklamowy, w który kliknął użytkownik zainfekowanego smartfona i każda aplikacja, która została pomyślnie zainstalowana, przynosi pewną sumę pieniędzy firmie Yingmob.

Szczególnie perfidne jest wykorzystanie banerów reklamowych. Jedynym sposobem, aby pozbyć się reklamy z wyświetlacza telefonu jest kliknięcie w niego. Nie można obejść banera korzystając z przycisku „Wróć”. Co więcej, za każdym razem, gdy użytkownik próbuje zamknąć reklamę i klika w nią, jest automatycznie pobierana i instalowana nowa aplikacja, która także generuje reklamowe banery.

Nośnik zagrożeń

Obecnie głównym celem złośliwego oprogramowania HummingBad jest zarabianie pieniędzy. W przyszłości jest jednak możliwe wykorzystanie zainfekowanych urządzeń do innych celów. Jedną z możliwości mogą być ataki DDoS oparte na urządzeniach mobilnych. Co oznacza, że nasz smartfon bez naszej wiedzy będzie uczestniczył w zablokowaniu wybranej przez cyberprzestępcę internetowej witryny np. e-sklepu, serwisu internetowego lub stron rządowych.

Na szczęście nie jesteśmy bez szans w walce z wirusem HummingBad. Do pozbycia się G DATA wirusa niezbędne jest wykonanie tzw. resetu fabrycznego i przywrócenie danych ze starszej, niezainfekowanej kopii zapasowej. Jednak najpewniejszym sposobem ochrony jest używanie programu antywirusowego. Użytkownicy, którzy zainstalowali na swoim urządzeniu mobilnym aplikację firmy G DATA są chronieni przed tym wirusem. Szkodnik HummingBad jest wykrywany jako „Android.Trojan.Iop.Y” lub jako Android.Trojan.Agent.A”.

źródło: G DATA

Kan