Eusebio Nieva     Director técnico de Check Point para España y Portugal.

El balance del año siempre nos recuerda los hitos que lo han marcado. Si hablamos de malware móvil, sin duda, 2016 tiene nombre propio: HummingBad. La cifra de 85 millones de dispositivos infectados a nivel mundial ha sido una de las más impactantes que hemos visto jamás.  Este malware móvil fue creado por Yingmob, una empresa china que consiguió grandes ingresos infectando dispositivos Android e instalando en ellos publicidad y apps fraudulentas.   Este importante descubrimiento ha sido el resultado de un trabajo que ha implicado al equipo de investigación de amenazas móviles de Check Point durante casi todo 2016. A principios de año, Check Point consiguió un acceso único y sin precedentes a los criminales responsables del ataque. De esta forma, fue posible estudiar sus actividades y analizar el malware que tanto dinero ha generado. El resultado fue un grupo muy organizado, centrado en la expansión y en el aumento de los ingresos, como cualquier empresa legal. La rentabilidad de esta empresa nos da una pista del rumbo que tomará el malware móvil en este 2017.

Descubriendo cómo funciona HummingBad

La primera vez que nos encontramos con HummingBad fue en febrero de 2016. Es un malware que básicamente establece un rootkit persistente en dispositivos Android para generar ingresos mediante publicidad fraudulenta en móviles y tablets, y para instalar apps sin consentimiento del usuario. Nos dimos cuenta de que cada vez había más dispositivos infectados, así que empezamos a buscar la fuente de estos ataques. La investigación nos llevó hasta Yingmob, una empresa legal de publicidad móvil situada en China y a la que ya se le había relacionado con un malware que atacaba a dispositivos con sistema operativo iOS.

En Yingmob nos encontramos con un equipo de 25 personas que era el responsable de gestionar el malware y que operaba de manera conjunta con empresas legales de análisis publicitario, compartiendo su tecnología y sus recursos.

Al analizar el código de HummingBad vimos que el malware se comunicaba con los servicios de seguimiento y de análisis de Yingmob. Desde ellos, los cibercriminales gestionaban la campaña fraudulenta, en la que instalan cerca de 200 apps, un 25% de ellas maliciosas. Sólo han hecho falta unos meses para que HummingBad y otros malwares móviles asociados infecten millones de dispositivos, la mayoría de ellos en China, India y países de Europa del Este. También han afectado a un gran número de dispositivos en otras partes del mundo. Por ejemplo, hay casi 300.000 smartphones y tablets afectados en Estados Unidos.

HummingBad al desnudo

El primer método de infección observado por el equipo de investigación de Check Point estaba basado en descargas de software desde distintas webs infectadas. Una vez dentro del dispositivo, HummingBad utilizaba una cadena de ataques sofisticados en varias fases y con dos componentes principales. El primero trataba de conseguir acceso root en el móvil explotando distintas vulnerabilidades. Si tenía éxito, los delincuentes consiguen acceso completo al dispositivo.

Si el primer método fallaba, el segundo componente del malware creaba una notificación falsa de actualización del dispositivo, mediante la que engañaba a los usuarios para que concediesen a HummingBad permisos de administrador. Aunque el rooting del teléfono o de la tablet no tenga éxito, este software malicioso descargaba apps fraudulentas en el aparato. La infección es persistente y muy difícil de eliminar: HummingBad despliega una amplia gama de servicios de pago como por ejemplo la visualización de publicidad móvil, generando clicks falsos desde los móviles de los usuarios. Estas tácticas ilegítimas generan muchos más beneficios ya que los atacantes monitorizan la efectividad de las apps de cada categoría y las modifican para mejorar su impacto.

Descubrimos que las aplicaciones muestran más de 20 millones de anuncios al día, y que Yingmob genera a diario más de 2,5 millones de clicks por publicidad, que se traducen en cerca de 3.000 dólares al día. A esta cantidad hay que sumarle otros 7.500 dólares de ingresos por descargas de apps fraudulentas, con lo que los ingresos ascienden a 10.000 dólares diarios, 300.000 al mes.

Mucho más que dinero

El dinero que gana HummingBad gracias a sus campañas fraudulentas es solo la punta del iceberg. Cada día sus creadores consiguen miles de permisos root de nuevos dispositivos Android. Gracias a todos los aparatos infectados, una organización estructurada y autosuficiente como Yingmob puede crear una botnet, dirigir ataques a empresas u organismos gubernamentales, o vender el acceso a los móviles y tablets infectados a otros grupos criminales.

¿Qué hemos aprendido de HumminBad? Lo primero y más evidente: hay millones de dispositivos Android desprotegidos en el mundo. Además, si miramos a un futuro cercano, queda claro que el malware móvil tiene cada vez más peso en las estrategias de los cibercriminales y que su alta rentabilidad es muy atractiva para ellos.  Hemos cerrado el año siendo un poco más conscientes de la importancia de contar con  dispositivos móviles seguros puesto que el riesgo es real, palpable y, seguramente, mayor en el año que comienza.