Cuidado con el malware para Android HummingBad

(Tomado y Adaptado de #WatchGuard #Secplicity)

Los investigadores de seguridad de CheckPoint publicaron sus hallazgos sobre HummingBad esta semana, después de un largo análisis de cinco meses del malware para Android. Desde que se descubrió por primera vez en febrero de 2016, el malware ha infectado a un estimado de 10 millones de dispositivos Android, ganando su creador 300.000 US$ al mes en ingresos por clicks en anuncios fraudulentos y en instalación de aplicaciones. Mientras que los dispositivos ubicados en China e India representan un gran porcentaje de las infecciones, las naciones occidentales como Estados Unidos y México han estimado el recuento de víctimas en más de 250.000 cada uno.

Hummingbad

HummingBad utiliza ataques por descargas dirigidas a través de sitios para adultos logrando infectar inicialmente a sus víctimas. Durante la infección, el malware intenta obtener acceso con permisos de administrador al dispositivo de la víctima mediante la explotación de vulnerabilidades conocidas para Android. Si esto falla, el malware en su lugar crea un aviso de actualización del sistema falsa para engañar a los usuarios para que concedan estos permisos a nivel de sistema. Durante este proceso, el malware también descarga varios componentes maliciosos y aplicaciones que contienen la funcionalidad maliciosa real.

Como ya se mencionó, la principal intención del HummingBad es obtener ingresos mediante anuncios ilegítimos e instalaciones de aplicaciones fraudulentas. Eventos propios del dispositivo, tales como el arranque,  el bloqueo o desbloqueo de pantalla, y los cambios en la conectividad de red desencadenan el proceso principal del malware, provocando que se vean anuncios publicitarios ilegítimos que incluyen un falso botón “CERRAR”. Si usted hace click en el anuncio o en el botón de “CERRAR”, los desarrolladores de HummingBad obtienen ingresos por esto. A lo largo de este proceso, el malware no le permitirá regresar a la pantalla principal, por lo que es muy difícil poder evitar estos anuncios malignos.

Mientras usted se encuentra haciendo click en estos anuncios maliciosos, otro proceso HummingBad obliga la descarga e instalación de aplicaciones no deseadas en el dispositivo, lo que ayuda a los autores a ganar más dinero ilícito por algo denominado “REFERENCIAS DE INSTALACIÓN”. Google Play incluye mecanismos que comparten información “INSTALL_REFERRER” con los desarrolladores de aplicaciones. Este mecanismo permite a los desarrolladores de aplicaciones legítimas, pagar comisiones cada vez que un cliente compre o instale su aplicación en base a la referencia de alguien. El malware HummingBad incluye una técnica de inyección que imita el proceso de referencia de Google Play. Este puede imitar los clicks en los botones de instalar / comprar / aceptar en la tienda de Google Play, lo que permite que el malware simule las referencias de instalación de aplicaciones. El proceso malicioso también puede inyectar números falsos para el Mobile Station Equipment Identity Internacional (IMEI) durante la instalación de aplicaciones, permitiendo que la misma aplicación pueda ser instalada varias veces en el mismo dispositivo (lo que genera aún más ingresos para estos criminales).

Si forzar su dispositivo a ser un zombie de publicidad no fuera suficientemente , las capacidades de HummingBad lo convierten en un juego potencialmente aún más peligroso. Con acceso total al sistema con privilegios, los atacantes podrían aprovechar fácilmente el ejército de los dispositivos infectados por HummingBad para lanzar ataques DDoS o simplemente utilizar su funcionalidad para cargar otros malware más dañinos en los dispositivos infectados.

Curiosamente, el informe de Check Point conecta HummingBad con la empresa china de publicidad y análisis Yingmob (la misma firma vinculada al software malicioso Yispecter iOS descubierto a finales de 2015), las aplicaciones de Yingmob, tanto legítimas como maliciosas, tienen una base de instalación estimada de 85 millones de dispositivos, de acuerdo a los resultados de las investigaciones. Esto parece realmente muy alarmante ya que pone a Yingmob como una actualización maliciosa para crear un número masivo de dispositivos infectados.

Hay varios pasos que se deben tomar para proteger que sus dispositivos Android se infecten:

En primer lugar, evitar el rooteo de su dispositivo. Mientras que esto puede habilitar funcionalidades que en condiciones normales estarían bloqueadas, también es importante conocer que esto deja una vía abierta a los ataques de malware que se instalan a través de descarga dirigidas.

En segundo lugar, mantener siempre el dispositivo actualizado con los últimos parches disponibles. Mediante la ejecución de la última actualización del sistema operativo, se limita a los atacantes a que no puedan explotar vulnerabilidades requeridas para la instalación de malware como HummingBad. Dicho esto, Google permite a los fabricantes de dispositivos móviles, empaquetar sus propias versiones de Android, por lo que algunas compañías no utilizan las últimas versiones Google Android. Esto significa que la seguridad de su dispositivo puede ser más dependiente de un fabricante que del propio dispositivo.

En tercer lugar, no instalar aplicaciones de fuentes desconocidas. Android evita que los usuarios instalen aplicaciones que no están disponibles en la tienda de Google Play de forma predeterminada (carga alternativa). La desactivación de esta prevención deja en riesgo la instalación de aplicaciones maliciosas como HummingBad.

HummingBad es sólo el último de una serie creciente de ataques en contra de dispositivos móviles. Con un estimado de 2 mil millones de teléfonos inteligentes en uso en todo el mundo, el incentivo para el  ataque ya está ahí. Los usuarios tienen que asegurarse de que están preparados para el próximo ataque.