HummingBad, un malware Android qui lance des campagnes publicitaires illicites,
Il génère un revenu mensuel de 300 000 $ aux attaquants

Le , par Miary, Expert éminent
En février dernier, Check Point, un spécialiste en sécurité, a découvert HummingBad, un rootkit pouvant infecter les appareils Android. Pour information, un rootkit est un logiciel qui permet de cacher une infection sur un PC ou un mobile. Après de longs mois d’investigation, il semblerait que ce soit une agence de publicité numérique chinoise, Yingmob, qui aurait développé ce logiciel malveillant, infectant 10 millions de mobiles Android environ. En lançant une campagne publicitaire illicite avec HummingBad, l’agence publicitaire a pu générer un revenu de 300 000 $ par mois.

Avec son mode de fonctionnement, les logiciels de sécurité ne détectent que tardivement le malware. En effet, au début tous ses composants sont cryptés. HummingBad utilise alors deux vecteurs d’attaque pour déchiffrer et décompresser ses fichiers. Le premier vecteur d’attaque, le fichier « right_core », peut s’activer si l’un des évènements suivants se présente : quand l’appareil démarre, quand l’horloge change de minute et quand l’écran est allumé. Le malware vérifie ensuite si l'appareil Android a été rooté. C'est un procédé qui permet à un utilisateur de mobile Android de modifier ou de supprimer des applications système. Si c’est le cas, le malware va se connecter directement à l’un de ses serveurs de commande et de contrôle pour télécharger une liste d’APK malveillants. Autrement, il va d’abord procéder au rootage de l’appareil. Dans le cas où le premier vecteur d’attaque échoue, un deuxième fichier du nom de « qs » va lancer une fausse notification de mise à jour du système. Si l’utilisateur accepte la mise à jour, HummingBad va envoyer des requêtes pour créer de fausses applications payantes sur Google Play.

L’agence de publicité numérique Yingmob a recours au service de la société Umeng, un spécialiste en statistiques et analyses d’applications mobiles. Sur les 200 applications proposées par Yingmob, Check Point soupçonne que 25 % d’entre elles sont malveillantes. Les statistiques réalisées par Umeng ont par ailleurs montré que 85 millions d’appareils Android ont téléchargé des applications développées par Yingmob, environ 10 millions d’entre eux utiliseraient ainsi des applications malveillantes. Ces utilisateurs sont localisés surtout dans des pays asiatiques comme la Chine et l’Inde. Toutes les versions du système Android sont aussi infectées par le malware HummingBad, surtout KitKat et Jelly Bean.


Chaque jour, les applications peuvent lancer plus de 20 millions de publicités et enregistrent 2,5 millions de clics. Par ailleurs, 50 000 applications frauduleuses sont installées sur des mobiles Android via HummingBad. En termes de revenus, cela représente en moyenne 0,00125 $ par clic, totalisant la somme de 3000 $ par jour. Chaque application frauduleuse coûte 0,15 $, générant ainsi environ de 7500 $ par jour. En tout, Yingmob gagne au moins 10 000 $ chaque jour.

D’après l’analyse de Check Point, Yingmob ne serait pas à son premier coup. Il aurait aussi été à l’origine d’un malware qui infectait les appareils iOS, du nom de Yispecter. Il faut savoir que cette agence emploie plusieurs équipes pour le développement de plateformes d’analyse d’applications mobiles. L’équipe, à qui est confié le développement des malwares, est formée de 25 employés. Elle gère notamment le projet Eomobi qui concerne le développement des composants de HummingBad.

En plus de générer des revenus importants grâce aux publicités malveillantes, il est tout à fait possible pour l'agence Yingmob de créer un botnet à partir des appareils Android qu’elle contrôle. Elle peut ainsi lancer des attaques par déni de service distribué à l’encontre de nombreux sites. Il se pourrait aussi qu’elle vende des bases de données issues de ces appareils Android.

Source : Check Point

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

La fraude au clic est plus qu'un problème marketing, des experts estiment qu'elle représente un risque de sécurité pour les entreprises

Le site The Pirate Bay a été la cible d'une campagne de malvertising les utilisateurs ont été infectés par le ransomware Cerber


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil