Achtergrondartikel


Onderzoek van Check Point Software Technologies

De mobiele malware-economie schiet wortel

Heeft u een Android-smartphone of -tablet? Dan kan het zijn dat deze bijdraagt aan de mobiele malware-economie, als een van de 85 miljoen apparaten die wereldwijd zijn geïnfecteerd door HummingBad. Deze malware-lawine genereert meer dan 300.000 dollar aan inkomsten per maand, een solide basis voor nóg meer criminele activiteiten. De vraag rijst hoe een bedrijfje uit China wereldwijd een aanzienlijk deel van de 1,4 miljard Android-devices kan besmetten, om er vervolgens miljoenen mee te verdienen. 
 
De herkomst van HummingBad 
In februari 2016 achterhaalden onderzoekers van Check Point de herkomst van de HummingBad-malware. Ze kwamen uit bij een zeer professioneel georganiseerde groep die, net zoals een legaal bedrijf, gericht is op expansie en omzetgroei. Daartoe zetten ze een persistent rootkit op Android-apparaten. Deze malware genereert frauduleuze mobiele advertentie-inkomsten en installeert kwaadaardige apps. De organisatie achter de campagne is Yingmob. Dat is een aan de ‘voorkant’ legitiem Chinees reclamebureau, dat eerder in verband is gebracht met malware die zich richt op Apple iOS-devices.

Uit een analyse van de code achter HummingBad bleek dat de malware communiceert met het controledashboard van Yingmob. Hiermee beheren de criminelen hun aanvalscampagne, inclusief een kleine 200 mobiele apps, waarvan een kwart met kwade bedoelingen. Gedurende meerdere maanden hebben HummingBad en aanverwante apps 85 miljoen apparaten geïnfecteerd. Het merendeel van de besmettingen vond plaats in China, India en andere oosterse landen, maar de aanval werd wereldwijd uitgevoerd. Zo waren er in de Verenigde Staten meer dan 300.000 aangetaste devices. 
 
Geavanceerde aanval 
Bij de eerste besmettingsmethode die het onderzoeksteam van Check Point ontdekte, ging het om ‘drive-by’ downloads vanaf verschillende geïnfecteerde websites. HummingBad pleegt daarmee een geavanceerde, getrapte aanval met twee hoofdcomponenten. De eerste probeert root-toegang te krijgen tot een apparaat door meerdere kwetsbaarheden aan te vallen. Dringt de malware binnen, dan hebben de aanvallers volledige toegang tot het apparaat. Zo niet, dan plaatst de tweede component een valse ‘system update’-melding, zodat de gebruiker wordt aangespoord om HummingBad bevoegdheden op systeemniveau te geven. Zelfs als de rooting niet succesvol verloopt, downloadt de malware tóch frauduleuze apps naar het device. De infectie is bovendien persistent, waardoor deze heel moeilijk in zijn geheel te verwijderen is.  
  
Staat HummingBad eenmaal op het apparaat, dan draait de malware een complete set aan betaalde diensten, zoals het genereren van frauduleuze clicks voor mobiele advertenties en het installeren van eveneens frauduleuze apps. Deze illegale technieken leveren de ontwikkelaars van HummingBad veel meer omzet op dan wanneer ze alles volgens het boekje zouden doen. De aanvallers houden de effectiviteit van de app in elke categorie bij, zodat ze de slagkracht kunnen verbeteren. Het gemiddelde inkomen per click van Yingmob is 0,00125 dollar, wat leidt tot een dagomzet uit clicks van meer dan 3.000 dollar. Opgeteld bij de inkomsten uit het downloaden van frauduleuze apps – meer dan 7.500 dollar per dag – bedraagt de maandelijkse omzet van het ‘bedrijf’ ruim 300.000 dollar.  
 
Meer dan geld alleen 
De HummingBad-campagne is een ‘numbers game’, al is de hiervoor genoemde opbrengst slechts het begin. De aanval tast elke dag duizenden Android-apparaten aan, zodat het al imposante aantal van 85 miljoen besmette devices blijft groeien. Met de toegang tot die apparaten kan een autonome, gestructureerde organisatie als Yingmob een botnet samenstellen om ondernemingen en overheden doelgericht aan te vallen of de toegang tot besmette devices laten ‘leasen’ door andere criminele groeperingen. Kortom, de rootkit creëert meerdere lucratieve inkomstenbronnen.  
  
Eigenlijk worden alle data op de besmette apparaten bedreigd, inclusief bedrijfsgegevens op BYOD-telefoons en -tablets. Zonder de mogelijkheid verdacht gedrag te ontdekken en te stoppen zijn deze miljoenen Android-apparaten, én alle informatie die erop staat, iedere dag opnieuw vatbaar voor dataverlies en fraude. Met zo veel bewezen omzetpotentieel – en de mogelijkheid toegang tot besmette devices te verhuren aan derden – is HummingBad een schoolvoorbeeld van hoe de wereld van mobiele bedreigingen zich de komende jaren gaat ontwikkelen. De georganiseerde misdaad zal leren van de praktijken van Yingmob, en met die inzichten een eigen methode ontwikkelen om van mobiele fraude een lucratieve business te maken.  
  
Besmetting voorkomen 
Individuele gebruikers die een infectie met persistent malware (zoals HummingBad) willen voorkomen, kunnen het beste alleen apps downloaden uit Google Play én een hoogwaardige antimalware-oplossing installeren op hun Android-apparaat. Ondernemingen met BYOD-programma’s doen er goed aan om alle mobiele devices te voorzien van beveiligingsoplossingen die kwaadaardige apps herkennen, ook als ze ‘slechts’ proberen het apparaat te ‘rooten’. Op deze manier kan de bedreiging tijdig worden geneutraliseerd. 

Eén ding is echter zeker: de mobiele malware-economie heeft wortel geschoten. Het is aan ons ervoor te zorgen dat hij niet tot bloei komt.


Lees meer over