HummingBad controla más de 10 millones de dispositivos Android y genera 300.000 dólares al mes en anuncios fraudulentos. El malware fue activado en agosto de 2015 en China por Yingmob, una compañía del país asiático que allí opera legalmente. De cara al gobierno, ofrece servicios de publicidad a otras empresas. Pero de cara a la galería es una organización de cibercriminales descentralizada que opera en Internet.
La prestigiosa firma de ciberseguridad Check Point lleva siguiendo el rastro de HummingBad desde febrero. No es como otros malwares para Android: este es peor. Al poco de detectarlo, dieron con el servidor C&C -algo así como la máquina que envía las órdenes al malware y recibe copia del comando ejecutado-, que les llevó hasta las oficinas de la empresa china. “Analizando el código, descubrimos que [el malware] manda notificaciones a Umeng, un servicio de estadísticas y trackeo desde donde lo manejan los atacantes”, cuenta la compañía en su informe From HummingBad to worse.
No es la primera vez que oyen hablar de Yingmob. La organización china, en otoño del año pasado también desarrolló Yispecter, otro malware que opera en el iOS de los dispositivos de Apple. Como HummingBad, también instala aplicaciones sin el consentimiento del usuario, ralentiza el sistema con publicidad y bloquea determinados procesos sustituyéndolos por otros de su cosecha.
El panel de control de la cuenta de Yingmob en Umeng registraba más de 200 apps, “la mayoría diferentes variaciones del mismo núcleo de apps”. Checkpoint sospecha que el 25% son maliciosas. “Combinando todas las campañas, se incluyen cerca de 85 millones de dispositivos”, asegura la firma de ciberseguridad. O lo que es lo mismo: Yingmob tiene apps instaladas en 85 millones de teléfonos y tabletas, de las cuáles, 1 de cada 4 son malware.
Cómo funciona y qué hace
En 2015, Kaspersky detectó casi tres millones de paquetes de instalación malignos para smartphones en Internet y 885.000 nuevos programas de malware. “El malware para móviles continua evolucionando hacia la monetización, con los creadores asegurándose de que sus creaciones son capaces de obtener dinero de sus víctimas”, cuenta la firma de ciberseguridad rusa.
A HummingBad se llega por error, por entrar al sitio incorrecto. Al pinchar en el banner malo o acceder a la web infectada la descarga comienza automáticamente. Así, el malware intenta acceder a la parte del sistema operativo que corre en segundo plano a través del directorio raíz. Si no lo consigue, intenta engañar al usuario solicitándole la descarga de un paquete de actualización para el software del teléfono.
Al infectar el dispositivo, el usuario deja de tener total control sobre el mismo. HummingBad espía nuestra privacidad, roba los datos y corre en segundo plano. Es capaz de instalar apps sin permiso y llega, incluso, a generar una simulación de la tienda Google Play una vez que el usuario decide la descarga de alguna de las aplicaciones. También llena el teléfono o la tablet de anuncios, con la consiguiente pérdida de potencia y de velocidad que eso provoca. Es así como sus creadores ganan dinero.
10.000 al día o 300.000 dólares al mes
Los analistas de Check Point que han conseguido recopilar los datos de HummingBad cuentan en el informe que la aplicación muestra más de 20 millones de anuncios al día. También que Yingmob, la empresa desarrolladora del malware, tiene un alto ratio de clicks (un 12,5%) en sus anuncios, lo que les reporta 2,5 millones de clicks al día gracias a la instalación fraudulenta de 50.000 apps al día en los dispositivos infectados.
Hagamos cálculos: Yingmob ingresa 0,00125 dólares por click. Si multiplicamos este número por 2,5 millones nos da como resultado 3.125 dólares de ganancia al día. Asimismo, por cada app descargada gana 0,15 dólares. Haciendo de nuevo la operación (0,15 x 50.000), la empresa china gana 7.500 dólares diarios. El resultado: Más de 10.000 dólares al día por infectar teléfonos y tablets, o lo que es lo mismo, 300.000 dólares al mes.
Google lanzó el jueves dos paquetes de actualizaciones para Android. También le contó al Guardian que “llevamos tiempo pendientes de esta familia de malware evolutiva y estamos constantemente mejorando nuestros sistemas para que lo detecten. Bloqueamos las instalaciones de las apps infectadas para mantener a los usuarios y su información a salvo”. China es el país con más dispositivos infectados, con 1,6 millones. Le siguen India (1,35 millones) y Filipinas (521.000). Aunque a Europa no ha llegado más que hasta unos pocos dispositivos de Ucrania y Rumanía, en Internet un hummingbird -un colibrí en castellano- se mueve rápido.