תוכנה זדונית חדרה למיליוני טלפונים סלולרים בעולם

המחקר של חברת אבטחת המידע העלה כי בתקופת פעילותן, נרשמו כמה מיליוני הורדת של האפליקציות הנגועות על ידי משתמשי אנדרואיד ברחבי העולם. צ'ק פוינט דיווחה על האפליקציות הנגועות ליחידת האבטחה של Google, שהסירה אותן מחנות האפליקציות באופן מידי.

בצ'ק פוינט אמרו כי הגרסה החדשה של התוכנה הזדונית, שכונתה על ידי חוקרי החברה HummingWhale, מכילה טכנולוגיות חדשות המאפשרות לה לייצר הונאות פרסום מתוחכמות.

הנוזקה המקורית Hummingbad התגלתה על ידי צ'ק פוינט בחודש פברואר 2016. ביולי האחרון, חשפה החברה את התשתית שמאחורי הנוזקה, וכן את קבוצת Yingmob העומדת מאחוריה. התוכנה הזדונית התקינה אפליקציות פרסום למכשירי המשתמשים ללא אישורם. היא הופצה תחילה דרך חנויות אפליקציות לא רשמיות, וכך הגיעה למכשיריהם של יותר מ-10 מיליון משתמשים. הנוזקה השיגה שליטה מלאה במכשירים במטרה לייצר רווח מהונאות פרסום, ואף הגיעה לרווחים של כ-300 אלף דולרים בחודש.

כעת, הנוזקה הופיעה שנית –-והפעם בחנות הרשמית, Google Play. הגרסה החדשה, Hummingwhale, התגלתה באפליקציה לאחר שביצעה פעולות חשודות במכשיר בעת כיבויו. לאחר מכן גילו חוקרי צ'ק פוינט שורה של אפליקציות המבצעות פעולות דומות, כאשר המשותף לרובן הוא מבנה שם הקובץ שניתן להן על ידי המפתחים הכולל את הרצף com.XXXXXXX.camera. לדוגמה: com.bird.sky.whale.camera, com.color.rainbow.camera. כל האפליקציות הועלו בשמות מזוייפים של מפתחים סיניים.

כיצד פועלת התרמית? בצ'ק פוינט מסבירים כי תחילה, שרת הפיקוד והשליטה (C&C) של הנוזקה שולח לאפליקציה את הפרסומות המזויפות שהיא מציגה בפני המשתמש. כאשר המשתמש מנסה לסגור אותן, מייצרת הנוזקה הקלקה מזויפת המניבה רווח לעומדים מאחורי הנוזקה. כמו כן, הנוזקה מאפשרת לתוקפים להתקין אפליקציות מזויפות למכונות וירטואליות מבלי לבקש אישור. בגרסה החדשה, הצליחו התוקפים לייצר את אותה הונאה מבלי להזדקק ליכולות שליטה במכשיר, על ידי שימוש במכונה הווירטואלית המריצה את האפליקציות שהותקנו.

מכיוון שפעילותה מוסווית בתוך אפליקציות שנראות לגיטימיות לכאורה, היא הצליחה למצוא את דרכה לחנות האפליקציות הרשמית של Google. כדי להסוותה, יצרו העומדים מאחורי גם ביקורות מזויפות ב-Google Play, והעניקו לאפליקציות הנגועות דירוגים גבוהים והמלצות.