Опасное семейство вредоносных приложений в прошлом году инфицировало более 10 млн. Android-устройств и теперь возвращается, на этот раз внутри приложений магазина Google Play, которые пользователи успели скачать уже 12 млн. раз.
Программа HummingWhale является разновидностью HummingBad. Последнее представляет собой семейство вредоносных приложений, описанное исследователями в прошлом июле и обнаруженных в сторонних магазинах. HummingBad пытается обойти механизмы защиты за счёт незакрытых уязвимостей, которые дают рут-права в старых версиях Android. Прежде чем Google закрыла их, в день скачивалось по 50 тысяч приложений, отображалось по 20 млн. вредоносных рекламных баннеров, доход в месяц составлял более $300 тысяч.
Приложение HummingWhale уже пробралось в 20 программ магазина Google Play, которые скачали от 2 млн. до 12 млн. раз, говорят исследователи из компании Check Point. Вместо рута устройств последний вариант использует виртуальные машины, что повышает эффективность мошеннической рекламы.
Как и HummingBad, HummingWhale зарабатывает рекламой и автоматической установкой приложений. Когда пользователи пробуют закрыть приложение, скачанные приложения запускаются в виртуальной машине. Это создаёт поддельный ID, позволяющий получать реферальный доход. Использование виртуальных машин приносит много плюсов, в том числе позволяет устанавливать приложения без выдачи пользователям запроса на разрешения. Также они скрывают вредоносную активность.
Для применения виртуальных машин задействуется плагин DroidPlugin от китайской антивирусной компании Qihoo 360. HummingWhale умеет также автоматически создавать в магазине положительные отзывы и высокие оценки. Google уже удалила обнаруженные приложения из магазина.