El malware HummingBad reaparece en Google Play Store en forma de HummingWhale

Escrito por Miguel Martínez
Android

Una recomendación común que los usuarios de Android obtienen para evitar el malware que puede colarse en sus teléfonos es descargar siempre aplicaciones desde el mercado de aplicaciones oficial de Google y evitar los mercados secundarios y la instalación de APKs de dudoso origen. Sin embargo,como el malware HummingBad demostró a mediados del año pasado al penetrar en las defensas del gigante Internet, este consejo tiene alguna que otra laguna.

En su día el malware generó más de 300.000 dólares en ingresos al mes e infectó a más de 85 millones de dispositivos, que, en ese momento, ejecutaban versiones de Android como KitKat y Jelly Bean. También fue uno de los malwares más peligrosos de 2016 representado por el 72% de los ataques a móviles y situándose en el cuarto lugar de la lista de Check Point de “el malware más peligroso a nivel mundial”.

Lamentablemente, el malware HummingBad no es cosa del pasado, ya que según informa la empresa de seguridad, una nueva variante, llamada HummingWhale, se ha encontrado en Google Play Store infectando a más de 20 aplicaciones presentes en el mercado oficial de Google.

Aplicaciones infectadas por HummingWhale

Varias aplicaciones, infectadas por HummingWhale, han sido publicadas bajo el nombre de falsos desarrolladores chinos en la tienda de aplicaciones de Google, según señala el informe de Check Point. Las aplicaciones tienen una estructura de nombre común, com. [Nombre] .camera (los ejemplos incluyen com.bird.sky.whale.camera y com.color.rainbow.camera), pero también hay títulos con nombres diferentes.

aplicaciones hummingwhale

CheckPoint afirma que todas estas aplicaciones infectadas de Google Play Store tienen en común un archivo cifrado de tamaño de 1.3MB denominado “assets / group.png” y que recuerda a uno de los archivos presentes en el malware HummingBad. En realidad esto es un APK diseñada para permitir que otras aplicaciones se descarguen e instalen en el dispositivo Android de la víctima de forma automática.

Entre los síntomas de este nuevo malware encontramos la habitual presencia de anuncios falsos que, usando un framework Android,  son capaces de crear una ID de referencia falsa con el objetivo de generar ingresos para los atacantes.

En la actualidad hay más de 40 aplicaciones que están propagando este malware por todo Google Play Store. Para detectarlas lo mejor que puede hacerse a la hora de bajar una determinada app sospechosa es, por supuesto buscar información al respecto en la Red, y consultar los comentarios de aquellos usuarios que ya han descargado la app. No obstante desde Check Point alertan que la confianza en Google Play vuelve a estar en entredicho ya que existe la posibilidad de añadir puntuaciones fraudulentas que puedan engañar a las posibles víctimas.

Fuente > Connect