Pesquisadores de segurança descobriram uma variante do malware HummingBad escondido em mais de 20 aplicativos Android na Play Store. Os aplicativos infectados já foram baixados por mais de 12 milhões de usuários antes que a equipe de segurança do Google os removessem da Play Store.
Apelidado de HummingWhale pelos pesquisadores da empresa de segurança Check Point, o malware utiliza novas técnicas que permitem que o software conduza anúncios de uma forma muito mais eficiente e gere receita para seus desenvolvedores.
O funcionamento do HummingWhale é mais sofisticado do que o HummingBad, pois usa um arquivo de pacote de aplicativos Android (APK) disfarçado que baixa e executa mais aplicativos no smartphone da vítima.
Se a vítima fechar o seu processo, o arquivo APK, em seguida, abrirá uma máquina virtual em um esforço para torná-lo mais difícil de detectar.
Como funciona
O HummingWhale faz uso de um plugin Android chamado DroidPlugin, criado pela empresa chinesa de segurança Qihoo 360, para fazer upload de aplicativos fraudulentos para a máquina virtual, permitindo que o HummingWhale instale outros aplicativos sem ter que elevar as permissões e disfarce sua atividade maliciosa para entrar na Play Store.
Graças à máquina virtual (VM), o malware HummingWhale não precisa utilizar o root dos dispositivos Android ao contrário do HummingBad e pode instalar um número maior de aplicativos maliciosos ou fraudulentos nos dispositivos da vítima.
Depois que a vítima é infectada, o servidor de comando e controle envia anúncios falsos e aplicativos mal-intencionados para o usuário, que serão executados em uma VM.
O HummingWhale possui a mesma finalidade do HummingBad, fazer montantes de dinheiro com fraudes de anúncios e instalações de aplicativos falsos.
Além de todas essas capacidades, o malware HummingWhale também tenta aumentar sua reputação na Play Store usando classificações e comentários fraudulentos, tática semelhante à usada pelo malware Gooligan.
