Hebt u een Androidsmartphone of -tablet? Dan kan het zijn dat deze bijdraagt aan de mobiele-malware-economie, als één van de 85 miljoen apparaten die wereldwijd zijn geïnfecteerd door Hummingbad. Deze malware-lawine genereert meer dan driehonderdduizend dollar aan inkomsten per maand. De vraag rijst hoe een bedrijfje uit China wereldwijd een aanzienlijk deel van de 1,4 miljard Android-devices kan besmetten, om er vervolgens miljoenen mee te verdienen.
In februari 2016 achterhaalden onderzoekers van Check Point de herkomst van de Hummingbad-malware. Ze kwamen uit bij een zeer professioneel georganiseerde groep die, net zoals een legaal bedrijf, gericht is op expansie en omzetgroei. Daartoe zetten ze een persistent rootkit op Android-apparaten. Deze malware genereert frauduleuze mobiele advertentie-inkomsten en installeert kwaadaardige apps. De organisatie achter de campagne is Yingmob. Dat is een aan de ‘voorkant’ legitiem Chinees reclamebureau, dat eerder in verband is gebracht met malware die zich op Apple iOs-devices richt.
Uit een analyse van de code achter Hummingbad bleek dat de malware communiceert met het controledashboard van Yingmob. Hiermee beheren de criminelen hun aanvalscampagne, inclusief een kleine tweehonderd mobiele apps, waarvan een kwart met kwade bedoelingen. Gedurende meerdere maanden hebben Hummingbad en zijn aanverwante apps 85 miljoen apparaten geïnfecteerd. Het merendeel van de besmettingen vond plaats in China, India en andere Oosterse landen, maar de totale aanval was mondiaal. Zo waren er in de VS meer dan driehonderdduizend aangetaste devices.
Hummingbad van start
De eerste besmettingsmethode die het onderzoeksteam ontdekte, waren ‘drive-by’ downloads vanaf verschillende geïnfecteerde websites. Hummingbad pleegt daarmee een geavanceerde, getrapte aanval met twee hoofdcomponenten. De eerste probeert root-toegang te krijgen op een apparaat door meerdere kwetsbaarheden aan te vallen. Dringt de malware binnen, dan hebben de aanvallers volledige toegang tot het apparaat. Zo niet, dan plaatst de tweede component een valse ‘system update’-melding, zodat de gebruiker wordt misleid Hummingbad bevoegdheden op systeemniveau te geven. Zelfs als de rooting niet succesvol verloopt, download de malware tóch frauduleuze apps naar het device. De infectie is bovendien persistent, waardoor ze heel moeilijk in haar geheel te verwijderen is.
Staat Hummingbad eenmaal op het apparaat, dan draait de malware een complete set aan betaalde diensten, zoals het genereren van frauduleuze clicks voor mobiele advertenties en het installeren van eveneens frauduleuze apps. Deze illegale technieken leveren de ontwikkelaars van Hummingbad veel meer omzet op dan wanneer ze alles legitiem volgens het boekje zouden doen. De aanvallers houden de effectiviteit van de app in elke categorie bij, zodat ze zijn slagkracht kunnen verbeteren. Het gemiddelde inkomen per click van Yingmob is 0,00125 dollar, wat leidt tot een dagomzet uit clicks van meer dan drieduizend dollar. Opgeteld bij de inkomsten uit het downloaden van frauduleuze apps – meer dan 7500 dollar per dag – bedraagt de maandelijkse omzet van het ‘bedrijf’ ruim driehonderdduizend dollar.
Meer dan geld alleen
De Hummingbad-campagne is een ‘numbers game’, al is de hiervoor genoemde opbrengst slechts het begin. De aanval dringt elke dag bij duizenden Android-apparaten binnen, zodat het al imposante aantal van 85 miljoen besmette devices blijft groeien. Met de toegang tot die apparaten kan een autonome, gestructureerde organisatie als Yingmob een botnet samenstellen; ondernemingen en overheden doelgericht aanvallen of de toegang tot besmette devices laten ‘leasen’ door andere criminele groeperingen. Kortom, de rootkit creëert meerdere lucratieve bronnen van inkomsten.
Eigenlijk worden alle data op de besmette apparaten bedreigd, inclusief bedrijfsgegevens op byod-telefoons en -tablets. Zónder de mogelijkheid verdacht gedrag te ontdekken en te stoppen zijn deze miljoenen Android-apparaten, én alle informatie die erop staat, iedere dag opnieuw vatbaar voor dataverlies en fraude. Met zó veel bewezen omzetpotentieel – en de mogelijkheid toegang tot besmette devices te verhuren aan derden – is Hummingbad een schoolvoorbeeld van hoe de wereld van mobiele bedreigingen zich de komende jaren gaat ontwikkelen. De georganiseerde misdaad zal leren van de praktijken van Yingmob, en met die inzichten met een eigen methode van mobiele fraude een lucratieve business maken.
Voor individuele gebruikers is de beste manier om een infectie met persistent malware (zoals Hummingbad) te voorkomen door alleen te downloaden van Google Play én een hoogwaardige anti-malwareoplossing te installeren op hun Android-apparaat. Ondernemingen met byod-programma’s kunnen het beste alle mobiele devices voorzien van beveiligingsoplossingen die kwaadaardige apps herkennen, ook als ze ‘slechts’ proberen het apparaat te ‘rooten’. Op deze manier kan de bedreiging worden geneutraliseerd voordat hij gevaarlijk wordt.
Één ding is echter zeker: de mobiele-malware-economie heeft wortel geschoten. Het is aan ons ervoor te zorgen dat hij niet tot bloei komt.
