hummingbad
Quello che c’è da sapere sul malware HummingBad

Si chiama HummingBad il nuovo malware Android che infettato più di 10 milioni di smartphone e tablet, e potrebbe essere installato su quasi 85 milioni di dispositivi in tutto il mondo. Ovviamente notizie come questa sono preoccupanti. Ecco perchè è importante sapere di cosa stiamo parlando.

La società di software di sicurezza Check Point ha recentemente pubblicato i risultati di un recente studio riguardo HummingBad. I dati non sono confortanti se si pensa che milioni di utenti in tutto il mondo sono a rischio. Simile alla paura che si diffuse con Stagefright, nel 2015, gli utenti hanno bisogno e chiedono di conoscere tutti i dettagli prima di saltare a conclusioni affrettate o, peggio, venire infettati senza saperlo. Mentre Stagefright ha avuto il potenziale di infettare un miliardo di dispositivi, HummingBad non lo farà. E non sarebbe così diffuso come tutti credono.

Notizie riguardo virus o malware circolano spesso e sia per Android che iOS. Spesso, però, la situazione non è così letale come qualcuno vorrebbe farci credere. Detto questo, è bene però essere informati. Il problema relativo a questo nuovo rapporto pubblicato dalla società di sicurezza non è relativo a quanti dispositivi sono infetti o quello che si sta facendo per delimitarlo. Il reale problema è che una società legittima starebbe dietro gli attacchi cibernetici e le infezioni.

Secondo quanto sostiene Check Point, un team di circa 25 sviluppatori di una società multimilionaria con sede a Pechino, tale Yingmob, sarebbe la causa di tutti questi rumors. Yingmob si occupa di annunci e analisi e produce milioni di dollari grazie proprio ad pubblicità cliccabili, pop-up e anche download delle applicazioni. Altri rapporti suggeriscono come questa stessa azienda possa stare dietro alcuni recenti attacchi verso gli iPhone. Proviamo a rispondere a qualche domanda.

Abbiamo davvero il malware HummingBad?

No, molto probabilmente non siamo infetti da HummingBad, né su smartphone o tablet. Da quello che si è capito fino, circa 288 mila dispositivi negli Stati Uniti potrebbero esserne stati colpiti e sotto i 100 mila nel Regno Unito o in Australia. Sembra però che i più grandi mercati vicini alla società, come la Cina con 1,6 milioni di device e l’India con 1,4 milioni, possano essere a rischio.

Il numero è, in realtà, sotto i 10 milioni in totale. Ancora non molto alto, dunque. Il rapporto dichiara che 84 milioni di dispositivi siano semplicemente alla portata di YingMob. Ciò non significa che sono tutti infettati, o che mai lo saranno. La paura è che solo un piccolo gruppo selezionato di dispositivi aveva installato il malware, ma nel mese di maggio si è registrato il picco più alto e per questo si è generata la paura. Non ci sarebbe nulla di cui preoccuparsi, soprattutto se si utilizza con cautela il proprio device e si clicca dove si è sicuri, dove si scaricano le applicazioni, e se si utilizzano dispositivi provvisti di misure di sicurezza come Samsung Knox.

Cina e India sono enormi mercati con milioni di smartphone cinesi a buon mercato o rimanenze di magazzino con Android, software obsoleti con scarsa sicurezza, e altri dispositivi ancora.

Che cosa è HummingBad

Da quello che si è potuto appurare finora, HummingBad non è il malware che crea il danno, ma è più una mossa per generare entrate pubblicitarie e guadagnare centinaia di migliaia di dollari. Semplicemente fingendo di fare clic su un dispositivo. Naturalmente avere accesso ad uno smartphone o un tablet non è mai cosa buona, ma al momento non si vedono segni estremamente dannosi.

HummingBad ha iniziato la sua ascesa con i tipici “attacchi drive-by” con i quali i dispositivi Android sono stati infettati dopo aver visitato un sito web. Ma, da allora, è cresciuto fino a diventare qualcosa di molto più potente nel tentativo di guadagnare di più. Secondo il rapporto Check Point, infatti, l’azienda cerca di “sradicare” migliaia di smartphone ogni giorno e ciò fornisce l’accesso all’azienda al sistema di un dispositivo. È qui che si svolgono le attività del malware. Molti tentativi hanno successo, ma la maggior parte non hanno buon esito e questo provoca poi un secondo tentativo con una falsa “notifica di aggiornamento del sistema”. Se un utente fa clic su questa, ad HummingBad vengono concesse determinate autorizzazioni a livello di sistema.

Il risultato finale su un dispositivo infettato da HummingBad sembra essere quello di ottenere clic automaticamente sui collegamenti degli annunci e il download di tonnellate di applicazioni provenienti da siti “nascosti” seguendo un link. Il tutto finalizzato a realizzare un profitto. Check Point afferma che quasi 50 mila applicazioni sono installate tutti i giorni grazie a tale sistema.

Detto questo, se l’azienda realmente ha infettato 84 milioni di dispositivi Android, qualcosa di molto più dannoso che potrebbe accadere. Tuttavia, ancora nulla sembra essere realmente successo.

Come funziona HummingBad

HummingBad attacca l’apparato radicale di smartphone Android e tablet con sistema operativo Android Ice Cream Sandwich, e tutti i device fino al più recente Android 6.0.1 Marshmallow. Se l’accesso di root non viene raggiunto, viene concesso un altro livello dopo la notifica di aggiornamento del sistema falso. Una volta fatto questo, il malware riprende in sostanza alcuni aspetti del dispositivo. Da qui, si scarica applicazioni dagli store, clicca annunci on-line e altri software dannosi. Tutto questo finisce per far guadagnare a Yingmob quasi 300 mila dollari al mese, attraverso appunto falsi clic e download di app.

Check Point, in una dichiarazione, afferma: “Il gruppo cerca di sradicare migliaia di dispositivi ogni giorno ed è successo con centinaia di tentativi. Con questi dispositivi, il team è in grado di creare una botnet, effettuare attacchi mirati alle imprese o alle agenzie governative, e anche vendere l’accesso ad altri criminali informatici sul mercato nero. Tutti i dati presenti su questi dispositivi sono a rischio, compresi quelli aziendali su quei dispositivi che servono sia per scopi personali e di lavoro per gli utenti“.

La società di ricerca ha continuato con l’affermare che YingMob potrebbe potenzialmente vendere informazioni raccolte dai dispositivi, o anche vendere l’accesso ad un ampio gruppo di dispositivi sul mercato nero.

Possiamo controllare HummingBad?

Sebbene sembri che questo malware non sia più di tanto un problema, in particolare negli Stati Uniti – e non stia facendo nulla di estremamente dannoso (oltre a produrre click falsi per guadagnare un sacco di soldi – è comunque una minaccia della quale gli utenti devono essere consapevoli.

Nessuna informazione è stata rilasciata riguardo alle modalità di verificare della presenza di HummingBad sui dispositivi o sulle modalità per rimuoverlo. Detto questo, molto probabilmente il dispositivo non è infetto. Ci sono innumerevoli programmi antivirus e applicazioni preventive sul Play Store di Google che potrebbero eseguire la scansione e verificare la presenza di infezioni. Se proprio se ne sente il bisogno per una sicurezza personale.