Čínska reklamná spoločnosť nakazila desať miliónov androidových zariadení

Päť mesiacov mala bezpečnostná spoločnosť CheckPoint bezprecedentný prístup k informáciám z čínskej kyberkriminálnej scény. Skupina, ktorej bola na stope, stála za vývojom malvéru, ktorý sa zmocňuje androidových zariadení s cieľom generovať podvodné tržby z reklamy.  

Vo februári 2016 experti zo spoločnosti CheckPoint prvýkrát objavili malvér nazvaný HummingBad. Odvtedy sa šíril čoraz viac, preto sa rozhodli zistiť o ňom viac.

Stopy vyšetrovateľov zaviedli až k spoločnosti Yingmob. Tá bola inými bezpečnostnými firmami označená za tvorcu iného nebezpečného malvéru. Volá sa Yispecter a je určený pre zariadenia s operačným systémom iOS. S HummingBad má rad spoločných znakov.

Reklamnú spoločnosť Yingmob podľa CheckPointu tvorí niekoľko tímov, ktoré pracujú na legálnych reklamných programoch. Má však aj tím, ktorý sa venuje vývoju nezákonných aplikácií. Vo firme ho volajú Vývojársky tím pre zaoceánske platformy. Tvoria ho štyri samostatné jednotky, v ktorých spolu pracuje 25 zamestnancov.

HummingBad naprogramovali tak, že pri snahe vniknúť do zariadenia a prevziať nad ním kontrolu využíva sofistikovaný viacúrovňový reťazec útokov pozostávajúci z dvoch hlavných krokov. V prvom sa program snaží využiť bezpečnostné slabiny zariadenia a získať prístup doň s pomocou rootkitu (sada počítačových programov/technológií, s pomocou ktorých sa dá maskovať prítomnosť neželaného programu). Ak uspeje, útočník získal plný prístup. Ak nie, v druhej fáze útoku pošle HummingBad používateľovi falošnú žiadosť o aktualizáciu systému, čím sa snaží užívateľa prinútiť, aby malvér získal prístup do systému.

Ak sa mu to podarí, dokáže sa zmocniť osobných údajov, prípadne získať prístup k emailu. Po vniknutí navyše nainštaluje toľko škodlivých aplikácií, koľko je len možné.

Analýzou zdrojového kódu sa špecialistom podarilo odhaliť, kde útočníci svoju kampaň začali. Využili služby u nás nie veľmi známej spoločnosti Umeng. V Číne je však jednou z vedúcich spoločností v oblasti analytických a developerských služieb zameraných na mobilné aplikácie. Spoločnosť Yingmob mala na svojom konte v Umengu zaregistrovaných okolo 200 aplikácií. Vyšetrovanie naznačuje, že až 25 percent z nich môže byť škodlivých. Stačilo, aby si obeť niektorú stiahla a útok sa mohol začať.

Napriek tomu, že obete malvéru HummingBad sú prevažne z Číny a Indie, vírus sa nevyhol ani nášmu kontinentu. Spomedzi európskych krajín sa medzi top 20 najpostihnutejších štátov dostali Rusko, Rumunsko a Ukrajina. V každom z nich je viac než 100-tisíc nakazených zariadení.

Zatiaľ sa zdá, že sa spoločnosť uspokojila “len“ zo zvyšovaním svojho zisku z reklamy za pomoci nelegálnych praktík, ktoré vytvoria za deň viac ako 2,5 miliónov kliknutí a 50-tisíc inštalácií podvodných aplikácií. Jedno kliknutie pritom predstavuje zisk 0,00125 dolára a nainštalovanie aplikácie až 0,15. Mesačne to predstavuje príjem až 300-tisíc dolárov.

Je možné, že spoločnosti v budúcnosti nebudú stačiť len príjmy z reklám, ale ponúkne citlivé osobné informácie, ktoré odcudzila, tomu,  kto ponúkne najviac.

(PP)