La creatività dimostrata dagli hacker, in particolar modo da coloro che attaccano gli utenti Android, cresce a tal punto da lasciare, sovente, stupiti. È il caso del malware “HummingWhale” che, pur non facendo danni (genera solo introiti pubblicitari per i criminali), riesce a risultare praticamente “invisibile”. Ecco come agisce.
HummingWhale, in realtà, è la riproposizione – in chiave “migliorata” – del malware HummingBad che, nel 2016, ebbe un certo “successo”: nei primi mesi dell’anno, divenne la quarta minaccia mobile più diffusa, ed il 72% degli attacchi hacker di quell’anno furono imputabili proprio al suo codice che, nel complesso, colpì 10 milioni di dispositivi, generando qualcosa come 300 mila dollari di incassi mensili, per gli hacker. Grazie ai click generati su pubblicità fraudolente.
Il virus HummingBad si diffondeva tramite app apparentemente innocue e, sbarcato sul device, ne assumeva il controllo tramite i diritti di root: in seguito, procedeva a installare applicazioni spara spot sui quali l’utente finiva per cliccare, generando – appunto – profitto per i criminali, poi identificati nella banda “Cina Yingmob”. Sembrava che quest’epopea digitale fosse finita, ma – evidentemente – non è così.
La security house israeliana CheckPoint – realizzatrice di soluzioni protettive, quali firewall e reti VPN – ha scoperto una variante del virus citato, nota come HummingWhale, che condivide – a livello di codice – molti elementi col virus precedente (pur essendo implementata da un’altra gang criminale): anche in questo caso, infatti, si tratta di un malware che – tramite l’add-on Droid Plugin – scarica tantissime applicazioni, incaricate di mostrare spam e banner, cliccando sui quali si fa il gioco dei criminali.
La differenza è che questo virus è invisibile. I creatori di HummingWhale, infatti, hanno avuto la geniale idea di far sì che le applicazioni scaricate vengano depositate all’interno di capsule virtuali, in modo da non generare icone sulla HomeScreen, da non occupare spazio locale, da non richiedere autorizzazioni all’utente. Niente: queste app se ne stanno lì, fanno il loro “dovere” e, grazie all’ID referrer dei loro creatori, continuano a “trasferire” reddito sugli account dei criminali 2.0.
Anche il sistema di contagio adottato da HummingWhale è diabolico, dacché sfrutta la passione degli utenti per le app fotocamera. In questo caso, CheckPoint ha scoperto – sul Play Store di Android – una 20ina di “camera app” finte, attribuite a falsi profili di programmatori cinesi, corredate di valutazioni sempre molto elevate, ovviamente anch’esse artefatte a dovere. Segnalate a Google, le app incriminate sono state prontamente rimosse: non prima, però, di aver infettato – secondo le stime israeliane – tra i 2 ed i 12 milioni di utenti!
Per scoprire se il proprio device sia stato contagiato da HummingWhale, occorre scansionarlo con il tool “Antivirus e Sicurezza” della Lookout, o con il “Check Point Protect” dell’omonima azienda. In caso affermativo, l’ultima soluzione resta sempre quella di un bel ripristino allo stato di fabbrica.