85 millones de infectados y 10.000 dólares al día: así son las cifras del virus HummingBad

85 millones de infectados y 10.000 dólares al día: así son las cifras del virus HummingBad
54 comentarios Facebook Twitter Flipboard E-mail

Hablar de olas de virus o malware en los dispositivos móviles no es algo demasiado extraño por desgracia, pero no siempre se logran unas cifras de efectividad como las de HummingBad, y sobre todo de ingresos. Más allá de la toma de datos personales, este virus de Android ha generado miles de dólares en ingresos para sus creadores, desde hace poco identificados por Check Point.

Esta empresa especializada en ciberseguridad suele informar de las infecciones de software, y en este caso además ha hecho una investigación que nos llegaba de la mano de Manu Contreras, la cual destripa tanto la procedencia como de los impactos a nivel de usuarios y al de los bolsillos de Yingmob, la agrupación que según Check Point está detrás de todo. ¿El resultado? Millones de usuarios afectados y, como decíamos, millones de dólares recaudados tras meses de actividad.

Unos responsables nada escondidos

Hablamos aquí de un trabajo de profesionales, tanto los que hicieron el virus como por parte de los de Check Point que dieron con la fuente correcta hasta determinar incluso su ubicación física (en Yuzhong, Chongqing, China). Para ello se siguió la pista cuando el malware empezó a detectarse en febrero hasta dar con los repositorios del atacante, en este caso Yingmob, una compañía china dedicada al análisis y al software de móviles. Al menos de cara al público y para operar de manera legal, con su sede y sus empleados.

Infecciones de Hummingbad

Lo que hallaron en Check Point fueron nexos comunes entre Yinspecter (un malware de iOS) y HummingBad (comparten servidores de comando y control, C&C), y de hecho ambos tienen el mismo mecanismo de acción: la instalación de apps fraudulentas para recaudar dinero. La clave para la efectividad de HummingBad es, en primer lugar, los sistemas de acceso a los dispositivos, intentando un acceso root (que permite un acceso completo al dispositivo) o una falsa actualización, de modo que logra que el usuario dé permisos.

Tras esto HummingBad descarga todas las apps fraudulentas posibles. Aplicaciones que ya tienen los componentes maliciosos o bien éstos son descargados tras la instalación de la app, y que se activan con acciones como apagar o encender la pantalla o un cambio en la conectividad. Entre ellos encontramos por ejemplo SSP, que se encarga a su vez de seguir instalando apps así como de mostrar ads.

Una caja registradora virtual que no para de sonar

A priori se puede pensar que la consecuencia directa de esto es que nuestro terminal se sature de aplicaciones que ni conocemos ni hemos instalado o que nuestra experiencia se vea gravemente penalizada por los persistentes e irritantes ads característicos del malware. Pero aquí hablamos de una importante campaña de recaudación; como decíamos al principio, aquí hablamos de profesionales y de millones de dólares.

3.000 dólares diarios de ingresos por clicks, 7.500 dólares por apps, una media de más 10.000 dólares diarios y 300.000 dólares de ingresos al mes

Según las investigaciones de Check Point, hablamos de una instalación de más de 50.000 apps fraudulentas diarias y un total de 2,5 millones de clicks recogidos por métodos ilegales (con una tasa de clicks del 12,5%) en los más de 20 millones de ads mostrados en un día. ¿En qué se traduce esto? En 3.000 dólares diarios de ingresos por clicks y 7.500 dólares por la instalación furtiva de apps, llegando a una media de 10.000 dólares diarios y 300.000 dólares de ingresos al mes. Se sabe que este virus está activo al menos desde agosto de 2015 y a día de hoy aún hay dispositivos afectados, hagan sus cuentas.

Estas cifras vienen de los 0,00125 dólares que se obtiene por cada click y los 0,15 dólares por cada app. Cifras que parecen pequeñas pero que crecen exponencialmente si hablamos de algo tan infeccioso que de hecho ha llegado a afectar a unos 85 millones de usuarios. Actualmente se estima que 10 millones de personas usan alguna de las 200 apps maliciosas, y que los países con más casos son (como cabe imaginar por población) China e India.

Y sonó la fragmentación

Éste es otro toque a la fragmentación de Android

No ayuda tampoco el hecho de que las versiones antiguas de los sistemas operativos perduren. Como ocurre con otros malware, éste es otro toque a la fragmentación de Android viendo que KitKat y JellyBean se llevan un 90% de las infecciones (50% y 40% respectivamente). Si consultamos [el gráfico de adopción de Android](android marsmallow adoption) correspondiente a junio, vemos que un 31,6% de los usuarios tiene KitKat y un 22,9% está con JellyBean o alguna versión anterior.

Es decir, más del 50% de usuarios tienen sistemas de dos años o más de antigüedad. Algo que puede que no importe demasiado en la experiencia de uso pero que a nivel de seguridad significa un problema al estar completamente obsoleta y suponer de este modo un acceso más fácil para estos softwares maliciosos.

Versiones de Android vs Infecciones por HummingBad

Así, los de Check Point enfatizan el hecho de que las agrupaciones como Yingmob gozan de independencia (o inmunidad en la práctica) que les permite perfeccionar estas campañas de malware, tendencia que desde la firma creen que irá a más. Apuntan a la creación de redes de bots que construyan bases de datos de los dispositivos vulnerables, de modo que se creen nuevas fuentes de ingresos.

Por nuestra parte sólo queda ser cuidadosos a la hora de instalar cualquier app, actualización o ante cualquier aviso que aparezca en nuestros dispositivos, así como a la hora de dar permisos a un tercero. Unos segundos de atención en estos puntos nos pueden ahorrar horas y días de disgustos, y como vemos incluso dinero.

Más información | Check Point
En Xatakamovil | Un troyano de Android está generando más de medio millón de dólares a base de anuncios

Comentarios cerrados
Inicio