Обнаруженное в прошлом году сложное вредоносное ПО HummingBad снова напомнило о себе. Исследователи компании Check Point нашли новую версию вредоноса, получившую название HummingWhale, в более 20 приложениях из магазина Google Play. По подсчетам экспертов, ПО было загружено уже более нескольких миллионов раз.
Авторы HummingWhale добавили своему детищу еще более изощренные возможности, чем раньше. Если жертва обнаруживает вредоносный процесс и пытается его прервать, HummingWhale запускает себя на виртуальной машине, тем самым усложняя обнаружение.
Вредонос привлек внимание исследователей Check Point в ходе анализа одного из приложений в Google Play. Программа регистрировала несколько событий загрузки (TIME_TICK, SCREEN_OFF и INSTALL_REFERRER), что показалось экспертам подозрительным. Приложение также содержало зашифрованный якобы графический файл group.png, на самом деле являвшийся исполняемым файлом <code.>apk.
Данный apk играл роль дроппера, загружающего и выполняющего дополнительные приложения – тактика, характерная для HummingBad. Тем не менее, в отличие от оригинальной версии, с помощью плагина для Android под названием DroidPlugin этот дроппер загружал приложения на виртуальную машину. После установки вредоноса на системе жертвы инфицированное устройство получает с C&C-сервера мошенническую рекламу и приложения. В отличие от HummingBad для запуска программ HummingWhale не требуется повышать свои привилегии и получать права суперпользователя. (Check Point/NovostIT)