Una società cinese realizza notevoli guadagni extra servendosi di un Adware

Lo stesso gruppo cybercriminale che tiene le fila del malware iOS scoperto lo scorso anno ha deciso, a quanto pare, di diversificare la gamma dei target presi di mira, visto che, adesso, attacca gli utenti Android. Secondo i ricercatori di Check Point, il gruppo Yingmob sta distribuendo, da almeno cinque mesi, un software appositamente progettato per ottenere la visualizzazione “forzata”, da parte degli utenti, di contenuti pubblicitari di ogni genere; l’applicazione malevola, denominata HummingBad, ha già infettato 10 milioni di dispositivi Android, soprattutto in Cina e in India, e consente ai propri operatori di rastrellare circa 300.000 dollari al mese.

I ricercatori sostengono che l’attività di Yingmob rappresenti, in sostanza, il business collaterale condotto da una società cinese, del tutto legittima, specializzata nell’analisi pubblicitaria. Secondo Check Point, la campagna malevola utilizza le stesse identiche risorse e tecnologie, e viene condotta in parallelo alle abituali operazioni di business, garantendo consistenti profitti aggiuntivi.

Gli esperti di Check Point hanno scoperto il malware HummingBad, destinato ai dispositivi Android, nello scorso mese di febbraio; esso funziona in qualità di adware e, per garantirsi una presenza permanente all’interno del dispositivo infetto, provvede ad installare un rootkit. È di particolare interesse rilevare come HummingBad utilizzi gli stessi server C&C di cui si avvale YiSpecter, analoga applicazione iOS, potenzialmente pericolosa, nota sin dallo scorso anno. I ricercatori hanno individuato ulteriori tratti in comune, tra i due malware: l’utilizzo di appositi certificati digitali, rilasciati ad uno sviluppatore corporate, per firmare il codice; la capacità di installare ulteriori applicazioni fraudolente; la presenza, nei repository di HummingBad, di dati relativi al lettore multimediale QVOD, ai quali si era dimostrato “interessato”, a suo tempo, anche YiSpecter.

La società di marketing che ha escogitato il metodo di guadagno extra, così inusuale, ha la propria sede a Pechino, mentre il business parallelo, come ha rilevato Check Point, viene condotto a circa 250 miglia (400 km) dalla capitale cinese, nella provincia di Chongqing. È risultato che in questa “divisione” speciale operano ben 25 dipendenti, attivi in tre aree distinte: sviluppo dei componenti malevoli di HummingBad, gestione della piattaforma analitica del server adibito alla pubblicità contestuale e supervisione delle APK distribuite attraverso il server. Il codice HummingBad residente invia poi apposite notifiche alla società cinese Umeng, specializzata in processi analitici, dove gli attacker possono monitorare gli aggiornamenti dello status.

Nella circostanza, i ricercatori sono riusciti a dare uno sguardo all’account Umeng di Yingmob. “Il malware cerca di insediarsi, ogni giorno, all’interno di centinaia, forse migliaia di dispositivi, – ha dichiarato a Threatpost Dan Wiley, Head of Incident Response presso la società Check Point. – Talvolta il malware, destinato ad acquisire i privilegi di root, non riesce nel proprio compito; gli insuccessi, tuttavia, non sono molto frequenti”.

HummingBad è provvisto di tutte le funzionalità malevole inerenti alla visualizzazione forzata dei contenuti di advertising: esso è in grado di mostrare oltre 20 milioni di annunci pubblicitari al giorno, di generare oltre 2,5 milioni di click, e di installare, nell’arco delle ventiquattro ore, più di 50.000 programmi di dubbia provenienza. I ricercatori hanno calcolato che Yingmob, ogni giorno, guadagna oltre 3.000 dollari grazie ai click pubblicitari realizzati; per ogni applicazione fraudolenta che smercia, inoltre, ottiene un ulteriore profitto, quantificabile in 7.500 dollari giornalieri.

L’ampia “popolazione” di HummingBad si estende, complessivamente, ad 85 milioni di dispositivi Android infetti; solo una piccola parte di essi, tuttavia, ha visto il malware acquisire i privilegi di root. Si tratta, indubbiamente, di un vasto potenziale, che può determinare ulteriori sviluppi, per quel che riguarda la campagna malevola in corso: la creazione di una botnet, magari la conduzione di attacchi mirati nei confronti di imprese commerciali ed organizzazioni governative. “L’evidente condizione di autosufficienza e l’estesa struttura organizzativa di cui si avvale Yingmob hanno di sicuro creato ottimi presupposti per poter intraprendere ulteriori iniziative di “business”, – si sottolinea nel dettagliato report stilato da Check Point, – incluso la commercializzazione dell’accesso a ben 85 milioni di dispositivi Android che si trovano, in pratica, sotto il controllo del gruppo cybercriminale cinese”.

Threatpost.com

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *