ElevenPaths ha publicado un estudio sobre el conocido malware HummingBad y otras campañas de malware similares.
En febrero de este año, la empresa de soluciones de seguridad Check Point alertaba sobre la existencia de un nuevo software malicioso (malware) que estaba afectando a millones de dispositivos Android en todo el mundo, denominado HummingBad.
Esta campaña de malware ha dado mucho que hablar en las últimas semanas no sólo por las molestias producidas a los usuarios (apps instaladas sin permiso y un malware casi imposible de eliminar del dispositivo) sino por la efectividad de el volumen de infección y la monetización que ha llevado a cabo el grupo de cibercriminales que se encontraba detrás. A grandes rasgos, los atacantes consiguen tener acceso remoto total al dispositivo móvil infectado includios sus datos, la instalación de cualquier app de forma automática.
Las apps instaladas sin consentimiento suponían además una fuente de publicidad agresiva (denominadas adware), que reportaban ingentes beneficios al grupo criminal en una aproximación de pay-per-click. Algunas estimaciones cuantifican que los ingresos publicitarios fraudulentos podrían ascender a una media de 270.000 euros al mes.
Según datos del propio Check Point, esta campaña ha afectado a más de 10 millones de usuarios en el mundo entero, fundamentalmente en India y China, si bien durante los últimos meses, su actividad se ha multiplicado sustancialmente.
Este malware sigue las mismas «reglas» establecidas por otras campañas de malware anteriores pero en algunos aspectos técnicos, era sorprendentemente más sofisticado. A principios de julio, los investigadores de Check Point atribuyeron HummingBad a una empresa que funciona en realidad como una empresa de análisis de datos dentro de la legalidad china llamada Yingmob. Esta compañía, según mantienen, es además responsable del malware para iOS denominado Yispecter, que se aprovecha de su certificado corporativo para instalarse y que fue descubierto a finales del 2015. Un subgrupo de Yingmob, también ubicado en China, sería el responsable de este nuevo malware.
Si bien los ejercicios de atribución de este tipo de casos son siempre difíciles, en un estudio publicado por el laboratorio de ElevenPaths, se han analizado otras campañas de malware con tácticas y técnicas similares. Los indicios apuntan a que HummingBad no es una evolución de una familia de malware, sino que se trata de un nuevo y peligroso malware que se desarrolló paralelamente a otros anteriores con los que pueden compartir algunas características pero no autores. De confirmarse, parece que esta nueva familia ha llegado para reclamar su cuota de mercado dentro de este tipo de malware y quedarse por un tiempo.
Si un móvil ha sido infectado, la forma más práctica de eliminar la amenaza es establecer los valores de fábrica a través de la configuración del dispositivo, aunque esto no garantiza la eliminación según la variante del malware. En este caso, debe acudir al servicio técnico.