Menu
in

HummingWhale: El peligroso malware de Android que está arrasando en Google Play

¿Recuerdan a HummingBad? Hablamos por primera vez sobre ese malware a mediados del año pasado, y perjudicó a más de 85 millones de dispositivos. Un problema importante detrás de cualquier malware es que sólo necesita modificaciones básicas para convertirse en algo diferente, y así llegamos a HummingWhale, el cual logró infiltrarse en la Google Play Store. Las aplicaciones infectadas fueron descargadas dos millones de veces como mínimo, y a pesar de sus cambios, el objetivo es el mismo: Generar ganancias con publicidad y apps falsas.

Los usuarios de Android son un blanco muy tentador, y nunca faltan aquellas ocasiones en las que un desarrollador malicioso logra ocultar su código dentro de lo que parece ser una aplicación legítima. Se trata de una carrera armamentista para Google. El gigante de Mountain View es bastante bueno a la hora de detectar apps infectadas, pero una vez que «el otro lado» asimila sus métodos, hace todo lo posible para evadir e insertar su malware. El último reporte publicado por la gente de Check Point nos habla de una nueva campaña bajo el nombre HummingWhale. Si el nombre resulta familiar, es porque estamos ante una variante del famoso HummingBad, con la diferencia de que es mucho más lista.

Un ejemplo de HummingWhale dentro de la tienda

En total se detectaron veinte aplicaciones con HummingWhale integrado, y fueron descargadas entre dos y doce millones de veces. Check Point siguió a esta familia de malware durante meses, y determinó que en vez de buscar acceso root sobre el dispositivo, lo que hace HummingWhale es aplicar técnicas asociadas a máquinas virtuales. Cuando el usuario trata de cerrar la publicidad maliciosa de HummingWhale, el malware descarga apps no deseadas dentro de esa máquina virtual, y crea una identificación falsa que le permite obtener ganancias adicionales abusando de referrals. El uso de una máquina virtual elimina la necesidad del root, y como si fuera poco, HummingWhale puede publicar comentarios y puntuaciones falsas con el objetivo de mejorar la reputación de las apps infectadas dentro de la tienda.

El reporte de Check Point posee la lista completa de apps, pero en esencia comienzan con «com» y terminan con «camera» (por ejemplo, «com.note.ocean.camera»). Como era de esperarse, Google ya retiró a las apps en cuestión, y Check Point ofrece una aplicación compatible capaz de detectar este tipo de infección, al igual que Lookout, uno de sus competidores directos.

Escrito por Lisandro Pardo

Leave a Reply