Tutto ciò che occorre sapere su HummingWhale, il pericoloso discendente di HummingBad

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

A volte ritornano: su Android il problema dei malware si distingue soprattutto per via della recidività di certe tipologie di minacce che tendono a ripresentarsi con una notevole frequenza sfruttando il codice sorgente originale per consentire agli sviluppatori – non necessariamente collegati al team di developer che inizialmente elaborarono il malware – di rilasciare una nuova e più potente versione. Questa volta è capitato a HummingBad o hummingBird, l’Adware che l’anno scorso si diffuse negli smartphone di migliaia di utenti arrivando a generare un introito di 300.000$ agli hacker nascosti dietro al progetto, e che oggi è tornato con il nome di HummingWhale.

Siete pronti per scoprire tutto ciò che occorre sapere su HummingWhale?

Che cos’è HummingWhale

HummingWhale non è un semplice malware per Android come tanti possono essere osservati settimanalmente: HummingWhale è il successore di HummingBird, un virus diffusosi un anno fa su Android a livello capillare – ne parlammo in QUESTO approfondimento – tale da riuscire ad eseguire ogni giorno migliaia di operazioni di rooting non richieste negli smartphone infettati, oltre a procurare ai propri sviluppatori un guadagno superiore ai 300.000$ mensili grazie all’intrusivo sistema di advertising molesto.

Cu-cù!

I numeri del contagio rimangono impressionanti: circa 10 milioni di device colpiti, più del 70% di tutte le infezioni malware conteggiate nel 2016. Il compito principale di HummingWhale non è differente dal suo predecessore: procurare un grande guadagno agli hacker suoi creatori tramite la visualizzazione intrusiva di pubblicità; mentre però HummingBird era rimasto perlopiù al di fuori di Google Play, questa nuova versione è stata rintracciata all’interno di molte app già ospitate nel Play Store e che Google ha già provveduto a rimuovere. Stando ai ricercatori di Check Point che per primi hanno diffuso la notizia del nuovo arrivato, “era solo questione di tempo prima che HummingBad riuscisse a trovare il modo per entrare anche nel più grande ed affidabile store di app Android“: il malware, mascherato sotto il falso profilo di varie case di sviluppo cinesi, induceva gli utenti al download presentandosi come app per l’editing fotografico falsificando poi le recensioni per aumentare la propria credibilità – quale fosse il metodo utilizzato per raggiungere questo scopo, ve lo spieghiamo nel prossimo paragrafo.

Come HummingWhale infetta gli smartphone degli utenti

HummingWhale presenta alcune similarità con la versione precedente, consentendo così di prevedere in anticipo il suo comportamento – comportamenti, e persino intere righe di codice corrispondono a HummingBad; sfortunatamente gli sviluppatori sembrano essere riusciti ad inserire i corretti partizionamenti che consentono a HummingWhale di raggiungere un risultato simile al malware precedente senza eseguire il root dello smartphone.

“Whale Camera”, una delle applicazioni da cui HummingWhale si era mascherato

Ognuna delle versioni di HummingWhale – i ricercatori hanno riportato di averne esaminate più di 16 – presenta al suo interno un file PNG di larghe dimensioni (almeno 1,3MB) pesantemente crittografato del nome “assets/group“, anche questo un retaggio delle più tarde versioni di HummingBad; il file si rivela in realtà essere un APK capace di installarsi autonomamente ed eseguire numerose attività che si confondono tra le versioni precedenti del virus e quelle successive – Check Point afferma che alcuni nuovi malware HummingBad cominciano ad assumere caratteristiche proprie di HummingWhale, a significato che l’apprendista starebbe finalmente superando il maestro.

Sfruttando un plug-in per Android chiamato Droid Plugin HummingWhale è capace di sviluppare una virtual machine che, nei fatti, si comporta come un sistema operativo interno al telefono: così facendo primariamente il malware visualizza una serie di banner pubblicitari invadenti che, se chiusi dall’utente, avviano una catena di azioni – coordinati da un server C&C – che porta al download di un’app infetta nella virtual machine che genera così un falso referral ID. L’utilizzo della virtual machine è stato un vero colpo di genio da parte degli sviluppatori: non solo HummingWhale non necessita più di un rootkit di cui può fare a meno, ma permette di sfruttare il referral ID per gestire i propri introiti pubblicitari, eseguire il download di ulteriori app senza sovraccaricare il dispositivo e di nascondere le attività illecite agli occhi dell’utente – senza contare che HummingWhale può così installare un numero virtualmente infinito di applicazioni.

Come difendersi da HummingWhale

Non esistono metodi diretti di difesa da HummingWhale, così come non sono disponibili tattiche precise nei confronti di qualsivoglia malware; noi vi suggeriamo di affidarvi solamente a store di app di fiducia, e di non eseguire mai download di app sospette; HummingWhale si distingueva poi per la presenza di valutazioni false nelle schede delle app che era riuscito ad infiltrare su Google Play, di conseguenza vi consigliamo di dare sempre un’occhiata alle recensioni, per quanto possano essere solitamente inaffidabili.

I commenti a Whale Camera – Foto: Check Point

Se poi temete di essere già stati contagiati, trovate QUI la lista di indizi a cui prestare attenzione qualora riteniate che un malware si sia infiltrato nel vostro device.

Scopri QUI tutto quello che occorre sapere sugli antivirus per Android!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi servizi sulla Sicurezza Android nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//